Pasar al contenido principal

Fecha de publicación: 01/03/2021

Importancia:Alta

Recursos afectados:

  • DeviceCare SFE100, versión 1.07.00 y anteriores;
  • Field Xpert SMTxx (Software SFE300), versión 1.05.00 y anteriores;
  • FieldCare SFE500, versión 2.15.01 y anteriores;
  • Asset Health Monitoring SRP700 (Software FieldCare SFE500), versión 2.15.01 (FieldCare SFE500) y anteriores.

Descripción:

M&M Software GmbH ha reportado esta vulnerabilidad de severidad alta, coordinada por CERT@VDE, que podría permitir a un atacante ejecutar código malicioso.

Solución:

Hasta que esté disponible una solución, se recomienda tomar las siguientes medidas de mitigación:

  • intercambiar los datos del proyecto sólo a través de servicios de intercambio seguros;
  • utilizar los medios adecuados para proteger el almacenamiento del proyecto de manipulaciones no autorizadas;
  • no abrir los datos del proyecto desde una fuente desconocida;
  • reducir los derechos de usuario de la aplicación anfitriona al mínimo necesario.

Detalle:

Una vulnerabilidad de deserialización de datos no confiables en el componente fdtContainer, integrado en la aplicación, podría permitir a un atacante ejecutar código malicioso, desde la estación de trabajo en la que se ejecuta la aplicación del host, con los permisos de usuario de dicha aplicación. Se ha asignado el identificador CVE-2020-12525 para esta vulnerabilidad ya publicada en INCIBE-CERT.

Encuesta valoración

Etiquetas:Infraestructuras críticas, Vulnerabilidad

Compartir

Compartir en Linkedin