Múltiples vulnerabilidades en productos EZAutomation
Fecha de publicación 13/08/2019
Importancia
4 - Alta
Recursos Afectados
- EZ Touch Editor, [Actualización 04/09/2019] versiones 2.1.0 y anteriores.
- EZ PLC Editor, [Actualización 04/09/2019] versiones 1.8.41 y anteriores.
Descripción
El equipo de 9sg Security Team ha reportado dos vulnerabilidades de tipo desbordamiento de búfer y corrupción de memoria en análisis de archivos, que podrían permitir a un atacante remoto la ejecución de código arbitrario en instalaciones vulnerables de EZ Touch Editor y EZ PLC Editor.
Solución
Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación es restringir la interacción con la aplicación.
[Actualización 04/09/2019] El fabricante recomienta actualizar los productos afectados, concretamente EZ Touch Editor a la versión 2.2.0 o superior, y EZ PLC Editor a la versión 1.9.0 o superior. Ambas actualizaciones se pueden obtener desde su centro de descarga.
Detalle
- La validación incorrecta de los datos proporcionados por el usuario en archivos EZC origina un estado de memoria corrupta que podría permitir a un atacante remoto la ejecución de código en el contexto del proceso actual en instalaciones del producto EZ PLC Editor. Es necesaria la interacción de otro usuario, para que acceda a una página maliciosa o abra un archivo malicioso. [Actualización 04/09/2019] Se ha reservado el identificador CVE-2019-13522 para esta vulnerabilidad.
- La validación incorrecta del tamaño de los datos proporcionados por el usuario antes de copiarlos en el búfer, en archivos EZP, podría permitir a un atacante remoto la ejecución de código en el contexto del proceso actual en instalaciones del producto EZ Touch Editor. Es necesaria la interacción de otro usuario, para que acceda a una página maliciosa o abra un archivo malicioso. [Actualización 04/09/2019] Se ha reservado el identificador CVE-2019-13518 para esta vulnerabilidad.
Listado de referencias
Etiquetas