Inicio / Alerta Temprana / Avisos Sci / Desbordamientos de búfer en CNCSoft de Delta Industrial Automation

Desbordamientos de búfer en CNCSoft de Delta Industrial Automation

Fecha de publicación: 
17/04/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • CNCSoft ScreenEditor versión 1.00.88 y anteriores.
Descripción: 

El investigador de seguridad Natnael Samson y un investigador anónimo, en colaboración con Zero Day Initiative (ZDI) de Trend Micro, han reportado estas vulnerabilidades de tipo desbordamiento de búfer que podrían permitir a un atacante revelar información, ejecutar código remoto o provocar un funcionamiento incorrecto de la aplicación.

Solución: 
Detalle: 
  • La incorrecta validación de los parámetros de entrada antes de copiar los datos de los archivos de proyecto en la pila o en la memoria dinámica (heap), permite el desbordamiento de búfer. Un atacante podría procesar ficheros de proyecto especialmente diseñados para ejecutar código remoto. Se han reservado los identificadores CVE-2019-10947 y CVE-2019-10951 para estas vulnerabilidades.
  • La incorrecta validación de los parámetros de entrada antes de copiar los datos de los archivos de proyecto podría permitir a un atacante la lectura fuera de límite, consiguiendo la divulgación de información. Se ha reservado el identificador CVE-2019-10949 para esta vulnerabilidad.

Encuesta valoración