Desbordamiento de búfer en EnergyPlus de National Renewable Energy Laboratory (NREL)

Fecha de publicación:

24/07/2019

Importancia:

3 - Media

Recursos afectados:

EnergyPlus, versión 8.6.0 y versiones anteriores.

Descripción:

El investigador Karn Ganeshen ha reportado una vulnerabilidad de criticidad media. La explotación exitosa de esta vulnerabilidad permitiría a un atacante la ejecución de código arbitrario o causar una condición de denegación de servicio.

Solución:

Actualizar a la versión de la aplicación (v9.0.1).

Detalle:

La aplicación no posee los mecanismos adecuados para evitar que un controlador de excepciones se sobrescriba con código arbitrario. Un atacante, con acceso a la aplicación, podría ejecutar código arbitrario o causar una condición de denegación de servicio. Se ha reservado el identificador CVE-2019-10974 para esta vulnerabilidad.

Referencias:

ICS Advisory (ICSA-19-204-02) NREL EnergyPlus

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Desbordamiento de búfer en EnergyPlus de National Renewable Energy Laboratory (NREL)

Múltiples vulnerabilidades en productos MB connect line

Múltiples vulnerabilidades en Philips Clinical Collaboration Platform

Múltiples vulnerabilidades en CodeMeter de Wibu Systems

Vulnerabilidad en WebAccess Node de Advantech

Múltiples vulnerabilidades en codificadores IPTV basados en hardware HiSilicon