Vulnerabilidad en EASYsoft de Eaton

Fecha de publicación 08/01/2021

Importancia

3 - Media

Recursos Afectados

EASYsoft, versiones 7.20 y anteriores.

Descripción

Francis Provencher, junto con Trend Micro’s Zero Day Initiative, han reportado esta vulnerabilidad al CISA que podría permitir a un atacante local modificar el programa o provocar el cierre inesperado.

Solución

Eaton está trabajando en la solución, que está prevista para finales de enero.
Eaton recomienda a los afectados que utilicen sólo archivos .E70 creados a partir de una fuente totalmente fiable y, en caso de que la aplicación falle debido a la carga del archivo .E70, reiniciar la aplicación y no volver a cargar dicho archivo .E70.
[Actualización 27/01/2021] Eaton ha publicado la versión 7.22 para corregir estas vulnerabilidades.

Detalle

El producto afectado permite que un puntero se lea desde un objeto de un archivo, lo que provoca una confusión de tipos. Se ha asignado el identificador CVE-2020-6656 para esta vulnerabilidad.

La lectura fuera de límites podría permitir a un atacante modificar o bloquear el programa. Se ha asignado el identificador CVE-2020-6655 para esta vulnerabilidad.

Listado de referencias

[Actualización 27/01/2021] ICS Advisory (ICSA-21-007-03) Eaton EASYsoft

Etiquetas

Vulnerabilidad