Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en HMiSoft VU3 de Eaton

Múltiples vulnerabilidades en HMiSoft VU3 de Eaton

Fecha de publicación: 
15/04/2020
Importancia: 
4 - Alta
Recursos afectados: 

HMiSoft VU3, versión 3.00.23 y anteriores.

Descripción: 

Natnael Samson, trabajando conjuntamente con ZDI de Trend Micro, ha reportado al CISA dos vulnerabilidades, una de severidad alta y otra media, de desbordamiento de búfer basado en pila y lectura fuera de límites.

Solución: 

Eaton dejó de fabricar el producto afectado el 31/12/2018, por lo que ya no proporciona, actualmente, servicio técnico, ni correcciones de seguridad. HMiVU fue reemplazado por la gama de productos XV100 y XV300. Se recomienda que los usuarios de HMiVU se pongan en contacto con Eaton para obtener asistencia técnica y de migración a la solución XV.

Detalle: 
  • Un archivo de entrada, especialmente diseñado, puede causar un desbordamiento del búfer de la pila (stack) cuando el producto afectado lo carga. Se ha reservado el identificador CVE-2020-10639 para esta vulnerabilidad.
  • Un archivo de entrada, especialmente diseñado, podría desencadenar una lectura fuera de los límites cuando el producto afectado lo cargue. Se ha reservado el identificador CVE-2020-10637 para esta vulnerabilidad.

Encuesta valoración

Etiquetas: