PT-2021-6880 · Unknown · Isagraf Workbench+2
Kimiya
·
Publicado
2021-10-21
·
Atualizado
2022-05-26
·
CVE-2022-1118
CVSS v3.1
8.6
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Connected Components Workbench, versões 13.00.00 e anteriores
ISaGRAF Workbench, versões 6.0 a 6.6.9
Safety Instrumented System Workstation, versões 1.2 e anteriores
Descrição
O problema está relacionado à desserialização de objetos, o que permite que invasores criem um objeto serializado malicioso. Se um usuário local abrir esse objeto no Connected Components Workbench, isso poderá resultar na execução de código arbitrário. Para que a vulnerabilidade seja explorada com sucesso, é necessária a interação do usuário. A vulnerabilidade está associada à restauração de dados não confiáveis na memória, permitindo potencialmente que um invasor execute código arbitrário usando um arquivo especialmente criado.
Recomendações
Para as versões 13.00.00 e anteriores do Connected Components Workbench, considere desativar a desserialização de objetos não confiáveis até que um patch esteja disponível.
Para as versões 6.0 a 6.6.9 do ISaGRAF Workbench, restrinja o acesso a arquivos potencialmente maliciosos para minimizar o risco de exploração.
Para as versões 1.2 e anteriores do Safety Instrumented System Workstation, evite usar o software afetado para abrir arquivos não confiáveis até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Connected Components Workbench
Isagraf Workbench
Safety Instrumented Systems Workstation