2023] Ejecución de código en CNCSoft-B de Delta Electronics

Fecha de publicación 02/06/2023

Importancia

4 - Alta

Recursos Afectados

[Actualización 07/06/2023] CNCSoft-B DOPSoft, versiones 1.0.0.4 y anteriores.

Descripción

Natnael Samson ha reportado 2 vulnerabilidades de severidad alta que podrían permitir a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Delta Electronics.

Solución

Solucionado en CNCSoft-B DOPSoft v4.0.0.82 y posteriores.

Detalle

La vulnerabilidad detectada requiere la interacción del usuario, ya que debe visitar una página maliciosa o abrir un archivo malicioso. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en la pila. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Se ha asignado el identificador CVE-2023-25177 para esta vulnerabilidad.

[Actualización 07/06/2023] Una vulnerabilidad de desbordamiento de búfer basado en la pila (heap) podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2023-24014 para esta vulnerabilidad.

Listado de referencias

Delta Electronics CNCSoft-B DOPSoft DPA File Parsing Stack-based Buffer Overflow Remote Code Execution Vulnerability

[Actualización 07/06/2023] ICSA-23-157-01 Delta Electronics CNCSoft-B DOPSoft

Etiquetas