Ejecución de código en Moxa VPort ActiveX SDK Plus

Fecha de publicación:

08/04/2015

Importancia:

4 - Alta

Recursos afectados:

MxNVR-MO4 Series
VPort 26A-1MP Series
VPort 351
VPort 354
VPort 36-1MP Series
VPort 364A Series
VPort 451
VPort 461
VPort 56-2MP Series
VPort P06-1MP-M12
VPort P06HC-1MP-M12 Series
VPort P16-1MP-M12 Series
VPort P16-1MP-M12-IR Series

Descripción:

Un investigador independiente ha identificado una vulnerabilidad de desbordamiento de búfer basado en pila en la aplicación Moxa VPort ActiveX SDK Plus que puede provocar la ejecución remota de código.

Solución:

Moxa ha desarrollado una actualización que resuelve el fallo.

Detalle:

Una función en ActiveX puede ser aprovechada para realizar un desbordamiento de búfer y ejecutar código de manera remota con los mismos permisos con los que se esté ejecutando la aplicación.

Se ha reservado el identificador CVE-2015-0986.

Referencias:

Moxa VPort ActiveX SDK Plus Stack-Based Buffer Overflow Vulnerability

Etiquetas:

Vulnerabilidad

SCADA

Accesos corporativos

Ejecución de código en Moxa VPort ActiveX SDK Plus

Vulnerabilidades en productos Valleylab de Medtronic

Consumo incontrolado de recursos en múltiples productos de Mitsubishi Electric

Desbordamiento de búfer en equipamiento V-Server de Fuji Electric

Múltiples vulnerabilidades en EDS-405A Series de Moxa

Vulnerabilidad de uso de función obsoleta en CX-Supervisor de Omron