Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en ISPSoft de Delta Electronics

Fecha de publicación 04/03/2025
Identificador
INCIBE-2025-0114
Importancia
4 - Alta
Recursos Afectados

ISPSoft

Descripción

Guillaume Orlando ha reportado 3 vulnerabilidades de severidad alta en ISPSoft que podrían permitir ejecutar código arbitrario.

Solución

Hasta el momento no existe solución.

Detalle

Para explotar estas vulnerabilidades se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso.

Dos de las vulnerabilidades se producen en el análisis de archivos DVP. Estas son debidas a una validación inadecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de una estructura de datos asignada y una validación inadecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en pila de longitud fija. 

La otra vulnerabilidad se produce en el análisis de archivos CBDGL. El problema surge debido a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en pila de longitud fija.

Un atacante puede aprovechar estas vulnerabilidades para ejecutar código en el contexto del proceso actual.