Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en TPEditor de Delta Electronics

Fecha de publicación 15/10/2018
Importancia
3 - Media
Recursos Afectados
  • Delta Industrial Automation TPEditor, versión 1.90 y anteriores.
Descripción

El investigador Ariele Caltabiano de 9SG Security Team y Mat Powell, en colaboración con Zero Day Initiative, han reportado varias vulnerabilidades de desbordamiento de búfer y de escritura fuera de límites que afectan a TPEditor de Delta Electronics. Un atacante podría ejecutar código arbitrario y divulgar información sensible.

Solución

Delta Electronics ha publicado la versión 1.91 de TPEditor que soluciona estas vulnerabilidades.

Detalle
  • Mediante un fichero especialmente manipulado, un atacante podría aprovechar la falta de validación de los datos de entrada del usuario antes de copiarlos del fichero de proyecto a la pila y, de este modo, conseguir la ejecución remota de código. Se ha asignado el identificador CVE-2018-17929 para esta vulnerabilidad.
  • Un atacante podría realizar la ejecución remota de código utilizando un fichero especialmente manipulado para aprovechar la falta de validación de los datos de entrada del usuario y escribir fuera de los límites asignados. Se ha asignado el identificador CVE-2018-17927 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Advisory (ICSA-18-284-03) Delta Industrial Automation TPEditor
Etiquetas