Desbordamientos de búfer en CNCSoft de Delta Industrial Automation
Fecha de publicación 17/04/2019
Importancia
4 - Alta
Recursos Afectados
- CNCSoft ScreenEditor versión 1.00.88 y anteriores.
Descripción
El investigador de seguridad Natnael Samson y un investigador anónimo, en colaboración con Zero Day Initiative (ZDI) de Trend Micro, han reportado estas vulnerabilidades de tipo desbordamiento de búfer que podrían permitir a un atacante revelar información, ejecutar código remoto o provocar un funcionamiento incorrecto de la aplicación.
Solución
- Actualizar a la versión 1.00.89
Detalle
- La incorrecta validación de los parámetros de entrada antes de copiar los datos de los archivos de proyecto en la pila o en la memoria dinámica (heap), permite el desbordamiento de búfer. Un atacante podría procesar ficheros de proyecto especialmente diseñados para ejecutar código remoto. Se han reservado los identificadores CVE-2019-10947 y CVE-2019-10951 para estas vulnerabilidades.
- La incorrecta validación de los parámetros de entrada antes de copiar los datos de los archivos de proyecto podría permitir a un atacante la lectura fuera de límite, consiguiendo la divulgación de información. Se ha reservado el identificador CVE-2019-10949 para esta vulnerabilidad.
Listado de referencias
Etiquetas