Múltiples vulnerabilidades en HMiSoft VU3 de Eaton

Fecha de publicación 15/04/2020

Importancia

4 - Alta

Recursos Afectados

HMiSoft VU3, versión 3.00.23 y anteriores.

Descripción

Natnael Samson, trabajando conjuntamente con ZDI de Trend Micro, ha reportado al CISA dos vulnerabilidades, una de severidad alta y otra media, de desbordamiento de búfer basado en pila y lectura fuera de límites.

Solución

Eaton dejó de fabricar el producto afectado el 31/12/2018, por lo que ya no proporciona, actualmente, servicio técnico, ni correcciones de seguridad. HMiVU fue reemplazado por la gama de productos XV100 y XV300. Se recomienda que los usuarios de HMiVU se pongan en contacto con Eaton para obtener asistencia técnica y de migración a la solución XV.

Detalle

Un archivo de entrada, especialmente diseñado, puede causar un desbordamiento del búfer de la pila (stack) cuando el producto afectado lo carga. Se ha reservado el identificador CVE-2020-10639 para esta vulnerabilidad.
Un archivo de entrada, especialmente diseñado, podría desencadenar una lectura fuera de los límites cuando el producto afectado lo cargue. Se ha reservado el identificador CVE-2020-10637 para esta vulnerabilidad.

Listado de referencias

ICS Advisory (ICSA-20-105-01) Eaton HMiSoft VU3

[Actualización: 27/04/2020]ETN-VA-2020-1002: Multiple Security vulnerabilities in HMi Soft VU3

Etiquetas

Vulnerabilidad