Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Desbordamiento de búfer en LeviStudioU de WECON

Fecha de publicación 26/08/2020
Importancia
4 - Alta
Recursos Afectados

LeviStudioU, versión 2019-09-21 y anteriores.

Descripción

Natnael Samson, en colaboración con Zero Day Initiative de Trend Micro, reportó esta vulnerabilidad a CISA, de severidad alta y de tipo desbordamiento de búfer basado en pila (stack).

Solución

WECON es consciente del problema y actualmente está desarrollando una solución. Para obtener más información, se puede contactar con WECON online o por teléfono: 0086-591-87868869-894.

Detalle
  • La acción de abrir un archivo de proyecto, especialmente diseñado, podría permitir a un atacante explotar la vulnerabilidad de desbordamiento de búfer y ejecutar código bajo los privilegios de la aplicación. Se ha reservado el identificador CVE-2020-16243 para esta vulnerabilidad.
  • Existe una vulnerabilidad XXE al procesar entidades de parámetros, que pueden permitir la divulgación de archivos. Se ha reservado el identificador CVE-2020-25186 para esta vulnerabilidad.
  • [Actualización 04/12/2020]: Una vulnerabilidad de desbordamiento del búfer en la región heap de la memoria al procesar archivos de proyecto, podría permitir a un atacante, mediante un proyecto especialmente diseñado, explotar y ejecutar código bajo los privilegios de la aplicación. Se ha asignado el identificador CVE-2020-25199 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-20-238-03) WECON LeviStudioU
Etiquetas