ICS-CVRT informuje o nowych podatnościach w produktach firmy PTC (P23-185)

cert.pse-online.pl 1 rok temu
ProduktKEPServerEX: Wersje od 6.0 do 6.14.263
Numer CVECVE-2023-3825
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisKEPServerEX firmy PTC w wersjach od 6.0 do 6.14.263 jest podatny na odczyt rekurencyjnie zdefiniowanego obiektu, co prowadzi do niekontrolowanego zużycia zasobów. KEPServerEX wykorzystuje OPC UA, protokół definiujący różne typy obiektów, które można zagnieżdżać w celu tworzenia złożonych tablic. Nie implementuje sprawdzania, czy taki obiekt jest zdefiniowany rekurencyjnie, więc atak może wysłać złośliwie utworzoną wiadomość, którą dekoder będzie próbował zdekodować, dopóki stos się nie przepełni i urządzenie się nie zawiesi.
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-23-208-02
Idź do oryginalnego materiału