Vulnérabilité critique dans PLC4X d’Apache
Date de publication :
CVE-2021-43083[Score CVSS v3.1: 9.8]
Le produit PLC4X d’Apache est un ensemble de librairies permettant une communication uniforme avec différents automates programmables (PLC ou API).
Il est possible de perturber le système en modifiant les requêtes TCP notamment par l’introduction
d’éléments malveillants provenant du serveur Apache. Cette vulnérabilité pourrait être exploitée par un attaquant afin de générer un déni de service ou d’exécuter du code arbitraire sur l’automate.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Déni de service
Exécution de code arbitraire
Criticité
Score CVSS v3.1: 9.8
La faille est activement exploitée
Non
Un correctif existe
Oui
Une mesure de contournement existe
Non
Les vulnérabilités exploitées sont du type
CWE-191: Integer Underflow (Wrap or Wraparound)
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
Détails sur l’exploitation
Vecteur d’attaque : réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Non
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
La version 0.9.0 de PLC4X.
Solutions ou recommandations
- Appliquer la mise à jour vers la version 0.9.1 de PLC4X, ou une autre version plus récente.