Fecha de publicación: 15/01/2021

Importancia:Alta

Recursos afectados:

• fdtCONTAINER component:
  • versiones anteriores a la 3.5;
  • versiones 3.5.0, anteriores a la 3.5.20304.x;
  • versiones 3.6.0, anteriores a la 3.6.20304.x;
• fdtCONTAINER application:
  • versiones anteriores a la 4.5;
  • versiones 4.5.0, anteriores a la 4.5.20304.x;
  • versiones 4.6.0, anteriores a la 4.6.20304.x;
• dtmINSPECTOR:
  • versión 3 (basada en FDT 1.2.x).

Descripción:

Un cliente de fdtCONTAINER component ha reportado esta vulnerabilidad de severidad alta, coordinada por CERT@VDE, que podría permitir a un atacante ejecutar código malicioso.

Solución:

El fabricante aporta 2 soluciones posibles:

• Por un lado, actualizar a una versión que proporcione una deserialización más segura de los datos del proyecto. Estas versiones seguirán utilizando una tecnología de serialización obsoleta, pero corregirá el vector de ataque actualmente conocido y será compatible con los archivos de proyecto existentes, no manipulados:
  • fdtCONTAINER component, versión 3.6.20304.x o superior;
  • fdtCONTAINER application, versión 4.6.20304.x o superior.
• Por otro, actualizar a una versión que proporciona una deserialización segura de los datos del proyecto con una tecnología de serialización actualizada. Esto provoca la incompatibilidad con los archivos de proyecto existentes, no manipulados:
  • fdtCONTAINER component, versión 3.7 y superiores;
  • fdtCONTAINER application, versión 4.7 y superiores.

Detalle:

Una vulnerabilidad de deserialización de datos no confiables podría permitir a un atacante ejecutar código malicioso, desde la estación de trabajo en la que se ejecuta la aplicación del host, con los permisos de usuario de dicha aplicación. Se ha asignado el identificador CVE-2020-12525 para esta vulnerabilidad.

Etiquetas:Actualización, Infraestructuras críticas, Vulnerabilidad