PT-2022-10370 · Xinje · Xinje Xd/E Series Plc Program Tool
Mashav Sapir
·
Publicado
2022-05-11
·
Atualizado
2022-05-19
·
CVE-2021-34606
CVSS v3.1
7.3
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Ferramenta de programação para PLCs da série XINJE XD/E, versões até v3.5.1
Descrição
Existe uma vulnerabilidade que pode permitir que um invasor local autenticado carregue uma DLL maliciosa, exigindo acesso local e privilégios suficientes de gravação de arquivos para ser explorada. Se explorada, o invasor poderia colocar um arquivo DLL malicioso no sistema, permitindo-lhe executar código arbitrário com os privilégios da conta de outro usuário.
Recomendações
Para versões até v3.5.1, considere restringir os privilégios de gravação de arquivos para minimizar o risco de exploração até que uma correção esteja disponível.
Como solução alternativa temporária, considere desativar o carregamento de DLLs externas na Ferramenta de Programação PLC da Série XINJE XD/E até que uma correção esteja disponível.
Exploit
Correção
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xinje Xd/E Series Plc Program Tool