CVE-2020-12003

FactoryTalk Linx, versões 6.00 a 6.11

RSLinx Classic, versões 4.11.00 e anteriores

Connected Components Workbench, versões 12 e anteriores

ControlFLASH, versões 14 e posteriores

ControlFLASH Plus, versões 1 e posteriores

FactoryTalk Asset Centre, versões 9 e posteriores

Versões 1 e posteriores do FactoryTalk Linx CommDTM

Versões 31 e posteriores do Studio 5000 Launcher

Versões 32 e anteriores do software Studio 5000 Logix Designer

Uma chamada de API exposta permite que os usuários forneçam arquivos para serem processados sem sanitização. Isso pode permitir que um invasor use solicitações especialmente criadas para percorrer o sistema de arquivos e expor dados confidenciais no disco rígido local.

Para as versões 6.00 a 6.11 do FactoryTalk Linx, considere desativar a chamada de API exposta até que um patch esteja disponível.

Para as versões 4.11.00 e anteriores do RSLinx Classic, restrinja o acesso ao endpoint da API para minimizar o risco de exploração.

Para as versões 12 e anteriores do Connected Components Workbench, evite usar a chamada de API vulnerável em ambientes de produção até que o problema seja resolvido.

Para as versões 14 e posteriores do ControlFLASH, versões 1 e posteriores do ControlFLASH Plus, versões 9 e posteriores do FactoryTalk Asset Centre, versões 1 e posteriores do FactoryTalk Linx CommDTM, versões 31 e posteriores do Studio 5000 Launcher e versões 32 e anteriores do software Studio 5000 Logix Designer, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade