Desbordamiento de búfer en EnergyPlus de National Renewable Energy Laboratory (NREL)

Fecha de publicación:

24/07/2019

Importancia:

3 - Media

Recursos afectados:

EnergyPlus, versión 8.6.0 y versiones anteriores.

Descripción:

El investigador Karn Ganeshen ha reportado una vulnerabilidad de criticidad media. La explotación exitosa de esta vulnerabilidad permitiría a un atacante la ejecución de código arbitrario o causar una condición de denegación de servicio.

Solución:

Actualizar a la versión de la aplicación (v9.0.1).

Detalle:

La aplicación no posee los mecanismos adecuados para evitar que un controlador de excepciones se sobrescriba con código arbitrario. Un atacante, con acceso a la aplicación, podría ejecutar código arbitrario o causar una condición de denegación de servicio. Se ha reservado el identificador CVE-2019-10974 para esta vulnerabilidad.

Referencias:

ICS Advisory (ICSA-19-204-02) NREL EnergyPlus

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Desbordamiento de búfer en EnergyPlus de National Renewable Energy Laboratory (NREL)

Validación de entrada incorrecta en APM Connect de GE

Vulnerabilidad XML External Entity (XEE) en Studio 5000 Logix Designer de Rockwell Automation

Múltiples vulnerabilidades en Mitsubishi Electric GOT2000

Múltiples vulnerabilidades en CIM 500 de Grundfos Pumps Corporation

Múltiples vulnerabilidades en OpenClinic GA