Vulnérabilité critique dans PLC4X d’Apache
Date de publication :
CVE-2021-43083[Score CVSS v3.1: 9.8]
Le produit PLC4X d’Apache est un ensemble de librairies permettant une communication uniforme avec différents automates programmables (PLC ou API).
Il est possible de perturber le système en modifiant les requêtes TCP notamment par l’introduction
d’éléments malveillants provenant du serveur Apache. Cette vulnérabilité pourrait être exploitée par un attaquant afin de générer un déni de service ou d’exécuter du code arbitraire sur l’automate.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1: 9.8
La faille est activement exploitée
- Non
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
Les vulnérabilités exploitées sont du type
- CWE-191: Integer Underflow (Wrap or Wraparound)
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
Détails sur l’exploitation
- Vecteur d’attaque : réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Non
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
- La version 0.9.0 de PLC4X.
Solutions ou recommandations
- Appliquer la mise à jour vers la version 0.9.1 de PLC4X, ou une autre version plus récente.