Desbordamiento de búfer en EnergyPlus de National Renewable Energy Laboratory (NREL)

Fecha de publicación 24/07/2019

Importancia

3 - Media

Recursos Afectados

EnergyPlus, versión 8.6.0 y versiones anteriores.

Descripción

El investigador Karn Ganeshen ha reportado una vulnerabilidad de criticidad media. La explotación exitosa de esta vulnerabilidad permitiría a un atacante la ejecución de código arbitrario o causar una condición de denegación de servicio.

Solución

Actualizar a la versión de la aplicación (v9.0.1).

Detalle

La aplicación no posee los mecanismos adecuados para evitar que un controlador de excepciones se sobrescriba con código arbitrario. Un atacante, con acceso a la aplicación, podría ejecutar código arbitrario o causar una condición de denegación de servicio. Se ha reservado el identificador CVE-2019-10974 para esta vulnerabilidad.

Listado de referencias

ICS Advisory (ICSA-19-204-02) NREL EnergyPlus

Etiquetas

Actualización
Vulnerabilidad