В ПО WECON для промышленных систем обнаружена критическая уязвимость

Исследователи безопасности из команды Trend Micro Zero Day Initiative обнаружили в ПО для программирования человеко-машинных интерфейсов (ЧМИ) от компании WECON критическую уязвимость, позволяющую удаленно выполнить произвольный код. Проблема затрагивает продукты LEVI Studio HMI Editor и PI Studio HMI Project Programmer.

Уязвимость CVE-2018-7527 представляет собой проблему переполнения буфера в стеке, которого можно добиться путем отправки специально сформированного файла. При успешной эксплуатации уязвимость позволяет удаленному злоумышленнику выполнить произвольный код.

Уязвимость обнаружена в версии WECON LeviStudioU 1.10 и более ранних, а также в сборке PI Studio HMI Project Programmer Build: November 11, 2017 и более ранних.

Исследователи уведомили производителя о проблеме. Корректирующие обновления уже доступны. WECON рекомендует пользователям как можно скорее обновить программное обеспечение до актуальной версии.