24 июня 2019

Уязвимости в пакете приложений для автоматизации Automation Worx Software Suite

В пакете программ Automation Worx Software Suite (версии 1.86 и более ранних версий) производства компании Phoenix Contact выявлены уязвимости, успешное использование которых может привести к удаленному выполнению произвольного кода.
Уязвимостям подвержены следующие программные компоненты:

  • приложение для программирования задач автоматизации PC Worx и PC Worx Express;
  • приложение для диагностики и конфигурирования Config+.

Наиболее опасные уязвимости, получившие оценку 7,8 баллов по шкале CVSS v.3, связаны с ошибками при работе с памятью: доступом через неинициализированный указатель (CVE-2019-12870) и использованием памяти после освобождения (CVE-2019-12871). Эксплуатация этих уязвимостей возможна, если злоумышленник обладает доступом к исходному файлу проекта PC Worx или Config +.

В настоящий момент производитель работает над следующей версией пакета программ, в которой выявленные уязвимости будут устранены. До выхода соответствующего обновления производитель рекомендует пользователям обмениваться файлами проекта, используя только безопасные службы обмена файлами, и ни в коем случае не использовать для передачи файлов проекта незашифрованную электронную почту.

Источник: ICS-CERT