CVE-2022-31801

Insufficient Verification of Data Vulnerability in ProConOS/ProConOS eCLR SDK and MULTIPROG Engineering tool

CVSS 9.8 CRITICALEPSS 1.0%CWE-345

Em resumo

Um atacante pode enviar código malicioso para dispositivos ProConOS pela internet sem precisar de senha, ganhando controle total do aparelho. Isso é grave porque esses dispositivos frequentemente controlam sistemas industriais importantes.

Detalhe técnico

A vulnerabilidade permite upload remoto de código sem autenticação em dispositivos ProConOS/eCLR devido a verificação insuficiente de dados (CWE-345). Um atacante pode explorar isso pela rede para executar lógica arbitrária e comprometer completamente o dispositivo sem autenticação prévia.

Resumo gerado e traduzido por IA a partir da descrição oficial.

An unauthenticated, remote attacker could upload malicious logic to the devices based on ProConOS/ProConOS eCLR in order to gain full control over the device.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

PHOENIX CONTACT · MULTIPROG PHOENIX CONTACT · ProConOS PHOENIX CONTACT · ProConOS eCLR

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://cert.vde.com/en/advisories/VDE-2022-026/