Vulnerabilidades de divulgación de información y ejecución arbitraria de código en OMRON CX-Programmer

Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a OMRON CX-Programmer, que permitirían a un atacante remoto realizar divulgación de información, ejecución arbitraria de código en el dispositivo afectado.

Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación:

CVE-2022-43508, de severidad “alta” y con puntuación asignada de 7.8. Esta vulnerabilidad se debe a un error de use-after-free (UAF) en OMRON CX-Programmer. Esto permitiría a un atacante remoto persuadir a la víctima para abrir un archivo CXP especialmente diseñado y así provocar ejecución arbitraria de código en el sistema afectado.

CVE-2022-43509, de severidad “alta” y con puntuación asignada de 7.8. Esta vulnerabilidad se debe a un error de escritura fuera de límites en OMRON CX-Programmer. Un atacante remoto puede crear un archivo CXP especialmente diseñado, engañar a la víctima para que lo abra y ejecutar código arbitrario en el sistema afectado.

CVE-2022-43667, de severidad “alta” y con puntuación asignada de 7.8. Esta vulnerabilidad se debe a un error de desbordamiento de búfer basado en pila en OMRON CX-Programmer. Un atacante remoto puede engañar a una víctima para que abra un archivo CXP especialmente diseñado, provocar un desbordamiento de búfer basado en pila y ejecutar código arbitrario en el sistema afectado.

Las versiones afectadas son:

CX- Programmer, versión 9.77 y anteriores.

La actualización del producto se aplica mediante su función de actualización automática desde la versión 9.79, por lo tanto, no es necesario que los usuarios realicen ninguna acción a partir de dicha versión.

En caso de algún inconveniente con la actualización automática, se recomienda a los usuarios que se pongan en contacto con el desarrollador y/o los representantes de ventas en el siguiente enlace:

https://www.omron.com/global/en/inquiry/

Referencias: