PT-2021-6479 · Rockwell Automation · Connected Components Workbench
Mashav Sapir
·
Publicado
2021-02-19
·
Atualizado
2022-03-29
·
CVE-2021-27475
CVSS v3.1
8.6
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Rockwell Automation Connected Components Workbench versão 12.00.00 e anteriores
Descrição
O problema está relacionado à desserialização de objetos, que pode ser explorada por invasores para criar objetos maliciosos. Se um usuário local abrir tal objeto no Connected Components Workbench, isso pode resultar na execução remota de código. Para que a exploração seja bem-sucedida, é necessária a interação do usuário. A vulnerabilidade também está associada à recuperação de dados inválidos na memória, permitindo que um invasor execute código arbitrário.
Recomendações
Para as versões 12.00.00 e anteriores, considere restringir o uso do recurso de desserialização no Connected Components Workbench até que um patch esteja disponível. Como solução alternativa temporária, evite abrir arquivos suspeitos ou não confiáveis no Connected Components Workbench para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Connected Components Workbench