22 de diciembre de 2014

SCHNEIDER ELECTRICS. Vulnerabilidad de inyección de código en ProClima

La Zero Day Initiative (ZDI) de HP ha reportado varias vulnerabilidades que permiten la ejecución remota de código en el software ProClima de Schneider Electric, catalogadas con Importancia: 5 - Crítica

Recursos afectados
  • Versión 6.0.1 de ProClima y anteriores.
Recomendación
  • Schneider Electric ha lanzado una actualización del software ProClima, la 6.1.7, que solventa estas vulnerabilidades.
  • Para la actualización de la versión es importante desinstalar la versión antigua del software.
Detalle e Impacto de la vulnerabilidad
  • Mediante la explotación de estas vulnerabilidades, un atacante remoto podría ejecutar código arbitrario en el sistema afectado.
  • El control MDraw30.ocx puede ser iniciado por un script malicioso causando un desbordamiento de búffer, lo que puede provocar la ejecución de código de forma remota. Del mismo modo, el control Atx45.ocx también puede ser iniciado por scripts maliciosos con idénticos resultados.
  • Se han reservado los siguientes códigos para estas vulnerabilidades: CVE-2014-8513, CVE-2014-8514, CVE-2014-9188, CVE-2014-8511 y CVE-2014-8512.
Más información
Fuente: INCIBE