Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en software CX-One de Omron

Fecha de publicación: 11/04/2018

Importancia: Media

Recursos afectados:

  • CX-One version 4.42 y anteriores, incluyendo las siguientes aplicaciones:
    • CX-FLnet versión 1.00 y anteriores
    • CX-Protocol versión 1.992 y anteriores
    • CX-Programmer versión 9.65 y anteriores
    • CX-Server versión 5.0.22 y anteriores
    • Network Configurator versión 3.63 y anteriores
    • Switch Box Utility versión 1.68 y anteriores

Descripción:

El investigador Rgod de Zero Day Initiative de Trend Micro ha descubierto dos vulnerabilidades de desbordamiento de búfer y una de acceso a recursos con un tipo incompatible que afectan al software CX-One de Omron. Un potencial atacante podría conseguir una ejecución remota de código.

Solución:

Omron ha publicado nuevas versiones de los productos afectados, en concreto ha publicado:

  • X-FLnet versión 1.10,
  • CX-Protocol versión 1.993,
  • CX-Programmer versión 9.66,
  • Common Module que incluye CX-Server versión 5.0.23,
  • Network Configurator versión 3.64, and
  • Switch Box Utility versión 1.69

Detalle:

  • Desbordamiento de pila: El tratamiento de ficheros de proyecto malformados puede provocar un desbordamiento de búfer que afecte tanto a la stack como a la heap. Se han asignado los códigos CVE-2018-8834 y CVE-2018-7514 para esta vulnerabilidad.
  • Acceso a recursos con un tipo incompatible: El tratamiento de ficheros de proyecto malformados podría permitir al puntero llamar a un objeto incorrecto resultado en el acceso a un recurso usando una condición de tipo incompatible. Se ha asignado el código CVE-2018-7530 para esta vulnerabilidad.

Etiquetas: Vulnerabilidad