Un nuevo aviso de SCI y una actualización
Índice
- Desbordamiento de entero en PASvisu Runtime de Pilz
- [Actualización 20/10/2025] Desbordamiento de búfer en CNCSoft-G2 de Delta Electronics
Desbordamiento de entero en PASvisu Runtime de Pilz
PASvisu versión 1.15.0 y anteriores. También en los siguientes firmwares:
- Firmware PMI v70Xe versión 03.00.00 y anteriores instalado en PMIv7xxe;
- Firmware PMI v8 versión 2.2.1 y anteriores instalado en PMIv8xx.
CERT@VDE en coordinación con Pilz han informado de una vulnerabilidad de severidad alta que, en caso de ser explotada, puede provocar que el programa deje de funcionar.
Actualizar a la última versión. Las versiones actuales recomendadas son:
- PASvisu 1.15.1;
- Firmware PMI v70Xe (visu 1.15.1) 03.01.00;
- Firmware PMI v8 Assistant (visu 1.15.1) 2.2.2.
El componente WebSocket de Mongoose 7.5 hasta 7.17. tiene una vulnerabilidad de desbordamiento de entero. Si un atacante envía una petición WebSocket especialmente manipulada, puede hacer que la aplicación deje de funcionar. Si este componente no se instala correctamente en el sistema, el fallo puede derivar en un desbordamiento de búfer.
Se ha asignado el identificador CVE-2025-51495 a esta vulnerabilidad.
[Actualización 20/10/2025] Desbordamiento de búfer en CNCSoft-G2 de Delta Electronics
CNCSoft-G2: Versiones 2.0.0.5 (con DOPSoft v5.0.0.93) y anteriores.
[Actualización 20/10/2025]
Para la nueva vulnerabilidad descubierta (CVE-2025-58319), la versión afectada es la 2.1.0.27 y anteriores.
Natnael Samson, que trabaja con Trend Micro Zero Day Initiative, ha informado de una vulnerabilidad de severidad alta que podría permitir a un atacante ejecutar código arbitrario.
[Actualización 20/10/2025]
Asimismo, este producto tiene otra vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir a un atacante ejecutar código en el contexto del proceso en ejecución.
Delta Electronics recomienda a los usuarios actualizar a CNCSoft-G2 v2.1.0.4 o posterior.
[Actualización 20/10/2025]
Con la nueva vulnerabilidad descubierta, se recomienda actualizar a la versión CNCSoft-G2 2.1.0.34 que soluciona ambas vulnerabilidades.
Delta Electronics CNCSoft-G2 carece de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.
Se ha asignado el identificador CVE-2024-4192 para esta vulnerabilidad.
[Actualización 20/10/2025]
Delta Electronics CNCSoft-G2 carece de una validación adecuada del fichero proporcionado por el usuario. Si un usuario abre un fichero malicioso, un atacante puede explotar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.
Se ha asignado el identificador CVE-2025-58319 para esta vulnerabilidad.