Desbordamiento de búfer en EnergyPlus de National Renewable Energy Laboratory (NREL)
Fecha de publicación:
24/07/2019
Importancia:
3 -
Media
Recursos afectados:
- EnergyPlus, versión 8.6.0 y versiones anteriores.
Descripción:
El investigador Karn Ganeshen ha reportado una vulnerabilidad de criticidad media. La explotación exitosa de esta vulnerabilidad permitiría a un atacante la ejecución de código arbitrario o causar una condición de denegación de servicio.
Solución:
Actualizar a la versión de la aplicación (v9.0.1).
Detalle:
La aplicación no posee los mecanismos adecuados para evitar que un controlador de excepciones se sobrescriba con código arbitrario. Un atacante, con acceso a la aplicación, podría ejecutar código arbitrario o causar una condición de denegación de servicio. Se ha reservado el identificador CVE-2019-10974 para esta vulnerabilidad.
Referencias:
Etiquetas: