[Actualización 20/10/2025] Desbordamiento de búfer en CNCSoft-G2 de Delta Electronics
CNCSoft-G2: Versiones 2.0.0.5 (con DOPSoft v5.0.0.93) y anteriores.
[Actualización 20/10/2025]
Para la nueva vulnerabilidad descubierta (CVE-2025-58319), la versión afectada es la 2.1.0.27 y anteriores.
Natnael Samson, que trabaja con Trend Micro Zero Day Initiative, ha informado de una vulnerabilidad de severidad alta que podría permitir a un atacante ejecutar código arbitrario.
[Actualización 20/10/2025]
Asimismo, este producto tiene otra vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir a un atacante ejecutar código en el contexto del proceso en ejecución.
Delta Electronics recomienda a los usuarios actualizar a CNCSoft-G2 v2.1.0.4 o posterior.
[Actualización 20/10/2025]
Con la nueva vulnerabilidad descubierta, se recomienda actualizar a la versión CNCSoft-G2 2.1.0.34 que soluciona ambas vulnerabilidades.
Delta Electronics CNCSoft-G2 carece de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.
Se ha asignado el identificador CVE-2024-4192 para esta vulnerabilidad.
[Actualización 20/10/2025]
Delta Electronics CNCSoft-G2 carece de una validación adecuada del fichero proporcionado por el usuario. Si un usuario abre un fichero malicioso, un atacante puede explotar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.
Se ha asignado el identificador CVE-2025-58319 para esta vulnerabilidad.
