PT-2020-6378 · Schneider Electric · Ecostruxure Control Expert
Alexander Perez-Palma
+1
·
Publicado
2020-11-19
·
Atualizado
2022-02-03
·
CVE-2020-7559
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
EcoStruxure Control Expert (todas as versões)
Descrição
Existe uma falha no simulador de PLC do software EcoStruxure Control Expert relacionada à cópia de buffer sem verificação do tamanho da entrada. Isso pode causar uma falha no simulador de PLC ao receber uma solicitação especialmente criada via Modbus. A falha permite que um invasor remoto possa potencialmente causar uma negação de serviço.
Recomendações
Para todas as versões, considere restringir o acesso ao protocolo Modbus até que uma correção esteja disponível. Como solução alternativa temporária, desativar a funcionalidade do Simulador de PLC pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Exploit
Correção
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ecostruxure Control Expert