Múltiples vulnerabilidades en productos de Delta Electronics
Fecha de publicación
21/04/2021
Importancia
5 - Crítica
Recursos Afectados
- COMMGR, versión 1.12 y anteriores;
- CNCSoft. versión 1.01.28 (con ScreenEditor versión 1.01.2) y anteriores;
- CNCSoft-B, versión 1.0.0.3 y anteriores.
Descripción
Peter Cheng, investigador de CyberSpace Non-Attack Research Institute de Elex CyberSecurity, Inc., y Natnael Samson en colaboración con ZDI de Trend Micro, han reportado al CISA 4 vulnerabilidades, 1 de severidad crítica y 3 altas, cuya explotación podría permitir realizar ejecución remota de código (RCE), causar el fallo de la aplicación afectada o causar ejecución de código arbitrario.
Solución
Actualizar a las siguientes versiones:
- COMMGR 1.13;
- CNCSoft ScreenEditor 1.01.30;
- CNCSoft-B 1.0.0.4 o posteriores.
Detalle
- El producto afectado es vulnerable a un desbordamiento del búfer basado en la pila (stack), que podría permitir a un atacante ejecutar código remoto, lo que provocaría una condición de denegación de servicio (DoS) en el servidor de aplicaciones. Se ha asignado el identificador CVE-2021-27480 para esta vulnerabilidad crítica.
- El producto afectado es vulnerable a una lectura fuera de límites, lo que podría permitir a un atacante ejecutar código arbitrario. Se han asignado los identificadores CVE-2021-22668 y CVE-2021-22660 para estas vulnerabilidades altas.
- El producto afectado es vulnerable a una escritura fuera de límites, que podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-22664 para esta vulnerabilidad alta.
Listado de referencias
Etiquetas