CVE-2022-31801

Insufficient Verification of Data Vulnerability in ProConOS/ProConOS eCLR SDK and MULTIPROG Engineering tool

CVSS 9.8 CRITICALEPSS 1.0%CWE-345

En resumen

Un atacante puede enviar código malicioso a dispositivos ProConOS por internet sin necesidad de contraseña, obteniendo control total del dispositivo. Esto es crítico porque estos equipos frecuentemente controlan sistemas industriales importantes.

Detalle técnico

La vulnerabilidad permite carga remota de código sin autenticación en dispositivos ProConOS/eCLR debido a verificación insuficiente de datos (CWE-345). Un atacante puede explotar esto a través de la red para ejecutar lógica arbitraria y comprometer completamente el dispositivo sin autenticación previa.

Resumen generado y traducido por IA a partir de la descripción oficial.

An unauthenticated, remote attacker could upload malicious logic to the devices based on ProConOS/ProConOS eCLR in order to gain full control over the device.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

PHOENIX CONTACT · MULTIPROG PHOENIX CONTACT · ProConOS PHOENIX CONTACT · ProConOS eCLR

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://cert.vde.com/en/advisories/VDE-2022-026/