Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a OMRON CX-Programmer, que permitirían a un atacante remoto realizar divulgación de información, ejecución arbitraria de código en el dispositivo afectado.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2022-43508, de severidad “alta” y con puntuación asignada de 7.8. Esta vulnerabilidad se debe a un error de use-after-free (UAF) en OMRON CX-Programmer. Esto permitiría a un atacante remoto persuadir a la víctima para abrir un archivo CXP especialmente diseñado y así provocar ejecución arbitraria de código en el sistema afectado.
- CVE-2022-43509, de severidad “alta” y con puntuación asignada de 7.8. Esta vulnerabilidad se debe a un error de escritura fuera de límites en OMRON CX-Programmer. Un atacante remoto puede crear un archivo CXP especialmente diseñado, engañar a la víctima para que lo abra y ejecutar código arbitrario en el sistema afectado.
- CVE-2022-43667, de severidad “alta” y con puntuación asignada de 7.8. Esta vulnerabilidad se debe a un error de desbordamiento de búfer basado en pila en OMRON CX-Programmer. Un atacante remoto puede engañar a una víctima para que abra un archivo CXP especialmente diseñado, provocar un desbordamiento de búfer basado en pila y ejecutar código arbitrario en el sistema afectado.
Las versiones afectadas son:
- CX- Programmer, versión 9.77 y anteriores.
La actualización del producto se aplica mediante su función de actualización automática desde la versión 9.79, por lo tanto, no es necesario que los usuarios realicen ninguna acción a partir de dicha versión.
En caso de algún inconveniente con la actualización automática, se recomienda a los usuarios que se pongan en contacto con el desarrollador y/o los representantes de ventas en el siguiente enlace:
Referencias:
- https://www.cybersecurity-help.cz/vdb/SB2022112811
- http://jvn.jp/en/vu/JVNVU92877622/index.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43508
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43509
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43667
- http://jvn.jp/en/vu/JVNVU92877622/index.html
- https://www.omron.com/global/en/inquiry/