Múltiples vulnerabilidades en productos de Delta Electronics

Fecha de publicación 21/04/2021
Importancia
5 - Crítica
Recursos Afectados
  • COMMGR, versión 1.12 y anteriores;
  • CNCSoft. versión 1.01.28 (con ScreenEditor versión 1.01.2) y anteriores;
  • CNCSoft-B, versión 1.0.0.3 y anteriores.
Descripción

Peter Cheng, investigador de CyberSpace Non-Attack Research Institute de Elex CyberSecurity, Inc., y Natnael Samson en colaboración con ZDI de Trend Micro, han reportado al CISA 4 vulnerabilidades, 1 de severidad crítica y 3 altas, cuya explotación podría permitir realizar ejecución remota de código (RCE), causar el fallo de la aplicación afectada o causar ejecución de código arbitrario.

Solución

Actualizar a las siguientes versiones:

Detalle
  • El producto afectado es vulnerable a un desbordamiento del búfer basado en la pila (stack), que podría permitir a un atacante ejecutar código remoto, lo que provocaría una condición de denegación de servicio (DoS) en el servidor de aplicaciones. Se ha asignado el identificador CVE-2021-27480 para esta vulnerabilidad crítica.
  • El producto afectado es vulnerable a una lectura fuera de límites, lo que podría permitir a un atacante ejecutar código arbitrario. Se han asignado los identificadores CVE-2021-22668 y CVE-2021-22660 para estas vulnerabilidades altas.
  • El producto afectado es vulnerable a una escritura fuera de límites, que podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-22664 para esta vulnerabilidad alta.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-21-110-03) Delta Industrial Automation COMMGR
ICS Advisory (ICSA-21-110-04) Delta Electronics CNCSoft ScreenEditor
ICS Advisory (ICSA-21-110-05) Delta Electronics CNCSoft-B
Etiquetas