Múltiples vulnerabilidades en CNCSoft-G2 de Delta Electronics
Fecha de publicación 10/07/2024
Identificador
INCIBE-2024-0349
Importancia
4 - Alta
Recursos Afectados
- CNCSoft-G2: versión 2.0.0.5.
Descripción
Bobby Gould y Fritz Sands de Trend Micro Zero Day Initiative, han reportado 4 vulnerabilidades, de severidad alta, cuya explotación podría permitir a un atacante causar una condición de desbordamiento de búfer y permitir la ejecución remota de código.
Solución
Delta Electronics recomienda a los usuarios actualizar a CNCSoft-G2 V2.1.0.10 o posteriores.
Detalle
Si un usuario visita una página maliciosa o abre un archivo malicioso, el atacante podría aprovechar las siguientes vulnerabilidades para ejecutar código en el contexto del proceso actual.
Las vulnerabilidades se clasifican en los siguientes tipos:
- Vulnerabilidad de ausencia de validación adecuada de la longitud de los datos suministrados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Se ha asignado el identificador CVE-2024-39880 para esta vulnerabilidad.
- Vulnerabilidad de ausencia de validación adecuada de los datos suministrados por el usuario, lo que podría dar lugar a una condición de corrupción de memoria. Se ha asignado el identificador CVE-2024-39881 para esta vulnerabilidad.
- Vulnerabilidad de ausencia de validación adecuada de los datos suministrados por el usuario, lo que puede dar lugar a una lectura más allá del final de un búfer asignado. Se ha asignado el identificador CVE-2024-39882 para esta vulnerabilidad.
- Vulnerabilidad de ausencia de validación correcta de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer de longitud fija basado en la pila. Se ha asignado el identificador CVE-2024-39883 para esta vulnerabilidad.
Listado de referencias
