Inicio / Alerta Temprana / Avisos Sci / Desbordamiento de búfer en EnergyPlus de National Renewable Energy Laboratory (NREL)

Desbordamiento de búfer en EnergyPlus de National Renewable Energy Laboratory (NREL)

Fecha de publicación: 
24/07/2019
Importancia: 
3 - Media
Recursos afectados: 
  • EnergyPlus, versión 8.6.0 y versiones anteriores.
Descripción: 

El investigador Karn Ganeshen ha reportado una vulnerabilidad de criticidad media. La explotación exitosa de esta vulnerabilidad permitiría a un atacante la ejecución de código arbitrario o causar una condición de denegación de servicio.

Solución: 

Actualizar a la versión de la aplicación (v9.0.1).

Detalle: 

La aplicación no posee los mecanismos adecuados para evitar que un controlador de excepciones se sobrescriba con código arbitrario. Un atacante, con acceso a la aplicación, podría ejecutar código arbitrario o causar una condición de denegación de servicio. Se ha reservado el identificador CVE-2019-10974 para esta vulnerabilidad.

Encuesta valoración