Múltiples vulnerabilidades 0day en IntegraXor de Ecava
Fecha de publicación:
10/03/2022
Importancia:
4 -
Alta
Recursos afectados:
IntegraXor.
Descripción:
El investigador Tran Van Khang (khangkito), de VinCSS, en colaboración con ZDI, ha publicado 8 vulnerabilidades: 2 de severidad alta y 6 bajas, en productos Ecava, que podrían permitir a un atacante la ejecución remota de código o la divulgación de información sensible.
Solución:
Dada la naturaleza de las vulnerabilidades, actualmente la única medida de mitigación es restringir la interacción con la aplicación.
Detalle:
- El fallo específico existe en el análisis sintáctico de los archivos WMF dentro del componente Inkscape. El problema se debe a la falta de validación adecuada de los datos suministrados por el usuario, lo que puede dar lugar a una condición de corrupción de memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del proceso actual.
- El fallo específico existe en el análisis de archivos EMF dentro del componente Inkscape. El problema se debe a la falta de validación adecuada de los datos suministrados por el usuario, lo que puede dar lugar a una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del proceso actual.
Referencias: