Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Desbordamientos de búfer en CNCSoft de Delta Industrial Automation

Fecha de publicación: 17/04/2019

Importancia: Alta

Recursos afectados:

  • CNCSoft ScreenEditor versión 1.00.88 y anteriores.

Descripción:

El investigador de seguridad Natnael Samson y un investigador anónimo, en colaboración con Zero Day Initiative (ZDI) de Trend Micro, han reportado estas vulnerabilidades de tipo desbordamiento de búfer que podrían permitir a un atacante revelar información, ejecutar código remoto o provocar un funcionamiento incorrecto de la aplicación.

Solución:

Detalle:

  • La incorrecta validación de los parámetros de entrada antes de copiar los datos de los archivos de proyecto en la pila o en la memoria dinámica (heap), permite el desbordamiento de búfer. Un atacante podría procesar ficheros de proyecto especialmente diseñados para ejecutar código remoto. Se han reservado los identificadores CVE-2019-10947 y CVE-2019-10951 para estas vulnerabilidades.
  • La incorrecta validación de los parámetros de entrada antes de copiar los datos de los archivos de proyecto podría permitir a un atacante la lectura fuera de límite, consiguiendo la divulgación de información. Se ha reservado el identificador CVE-2019-10949 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad