Múltiples vulnerabilidades en Delta Electronics DOPSoft

Fecha de publicación:

01/02/2023

Identificador:

INCIBE-2023-0034

Importancia:

4 - Alta

Recursos afectados:

DOPSoft, versiones 4.00.16.22 y anteriores.

Descripción:

El investigador, Natnael Samson, en colaboración con ZDI, ha reportado 2 vulnerabilidades de severidad alta, cuya explotación podría permitir la ejecución remota de código.

Solución:

Delta Electronics ha publicado la versión 1.3.0 de DIAScreen (se requiere login) y recomienda a los usuarios que utilicen DIAScreen en sustitución de DOPSoft.

Detalle:

Una vulnerabilidad de desbordamiento de búfer, basado en la pila (stack), podría permitir a un atacante remoto ejecutar código arbitrario cuando se introduce un archivo malicioso en el software. Se ha asignado el identificador CVE-2023-0123 para esta vulnerabilidad.
Una vulnerabilidad de escritura fuera de límites podría permitir a un atacante remoto ejecutar código arbitrario cuando se introduce un archivo malicioso en el software. Se ha asignado el identificador CVE-2023-0124 para esta vulnerabilidad.

Referencias:

ICS Advisory (ICSA-23-031-01) Delta Electronics DOPSoft

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en Delta Electronics DOPSoft

Múltiples vulnerabilidades en dispositivos inalámbricos OneWireless de Honeywell

Vulnerabilidad de autorización indebida en productos de AVEVA

Múltiples vulnerabilidades en Autodesk FBX SDK

Vulnerabilidad de inyección de código en productos de GE Digital

Vulnerabilidad de control de acceso en PLC CJ1M de Omron