Múltiples vulnerabilidades en FATEK Automation FvDesigner

Fecha de publicación
25/02/2022
Importancia
4 - Alta
Recursos Afectados

FvDesigner, versión 1.5.100 y anteriores.

Descripción

Khangkito, investigador de VinCSS, y xina1i, en colaboración con ZDI de Trend Micro, han reportado 3 vulnerabilidades de severidad alta, que podrían permitir a un atacante ejecutar código arbitrario.

Solución

FATEK no ha respondido a las solicitudes de colaboración con CISA para mitigar estas vulnerabilidades. Se invita a los usuarios de estos productos afectados a ponerse en contacto con el servicio de atención al cliente de FATEK para obtener información adicional.

Detalle
  • Un desbordamiento de búfer basado en la pila al procesar archivos de proyecto podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2022-25170 para esta vulnerabilidad.
  • Una escritura fuera de límites al procesar archivos de proyecto podría permitir a un atacante crear un archivo de proyecto, que permitiese la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-23985 para esta vulnerabilidad.
  • Una lectura fuera de límites al procesar archivos de proyecto podría permitir a un atacante crear un archivo de proyecto, que permitiese la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-21209 para esta vulnerabilidad.

Encuesta valoración

Ir arriba