Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en TPEditor de Delta Electronics

Fecha de publicación: 15/10/2018

Importancia: Media

Recursos afectados:

  • Delta Industrial Automation TPEditor, versión 1.90 y anteriores.

Descripción:

El investigador Ariele Caltabiano de 9SG Security Team y Mat Powell, en colaboración con Zero Day Initiative, han reportado varias vulnerabilidades de desbordamiento de búfer y de escritura fuera de límites que afectan a TPEditor de Delta Electronics. Un atacante podría ejecutar código arbitrario y divulgar información sensible.

Solución:

Delta Electronics ha publicado la versión 1.91 de TPEditor que soluciona estas vulnerabilidades.

Detalle:

  • Mediante un fichero especialmente manipulado, un atacante podría aprovechar la falta de validación de los datos de entrada del usuario antes de copiarlos del fichero de proyecto a la pila y, de este modo, conseguir la ejecución remota de código. Se ha asignado el identificador CVE-2018-17929 para esta vulnerabilidad.
  • Un atacante podría realizar la ejecución remota de código utilizando un fichero especialmente manipulado para aprovechar la falta de validación de los datos de entrada del usuario y escribir fuera de los límites asignados. Se ha asignado el identificador CVE-2018-17927 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad