Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en FATEK Automation FvDesigner

Múltiples vulnerabilidades en FATEK Automation FvDesigner

Fecha de publicación: 
25/02/2022
Importancia: 
4 - Alta
Recursos afectados: 

FvDesigner, versión 1.5.100 y anteriores.

Descripción: 

Khangkito, investigador de VinCSS, y xina1i, en colaboración con ZDI de Trend Micro, han reportado 3 vulnerabilidades de severidad alta, que podrían permitir a un atacante ejecutar código arbitrario.

Solución: 

FATEK no ha respondido a las solicitudes de colaboración con CISA para mitigar estas vulnerabilidades. Se invita a los usuarios de estos productos afectados a ponerse en contacto con el servicio de atención al cliente de FATEK para obtener información adicional.

Detalle: 
  • Un desbordamiento de búfer basado en la pila al procesar archivos de proyecto podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2022-25170 para esta vulnerabilidad.
  • Una escritura fuera de límites al procesar archivos de proyecto podría permitir a un atacante crear un archivo de proyecto, que permitiese la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-23985 para esta vulnerabilidad.
  • Una lectura fuera de límites al procesar archivos de proyecto podría permitir a un atacante crear un archivo de proyecto, que permitiese la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-21209 para esta vulnerabilidad.

Encuesta valoración