Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos EZAutomation

Múltiples vulnerabilidades en productos EZAutomation

Fecha de publicación: 
13/08/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • EZ Touch Editor, [Actualización 04/09/2019] versiones 2.1.0 y anteriores.
  • EZ PLC Editor, [Actualización 04/09/2019] versiones 1.8.41 y anteriores.
Descripción: 

El equipo de 9sg Security Team ha reportado dos vulnerabilidades de tipo desbordamiento de búfer y corrupción de memoria en análisis de archivos, que podrían permitir a un atacante remoto la ejecución de código arbitrario en instalaciones vulnerables de EZ Touch Editor y EZ PLC Editor.

Solución: 

Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación es restringir la interacción con la aplicación.

[Actualización 04/09/2019] El fabricante recomienta actualizar los productos afectados, concretamente EZ Touch Editor a la versión 2.2.0 o superior, y EZ PLC Editor a la versión 1.9.0 o superior. Ambas actualizaciones se pueden obtener desde su centro de descarga.

Detalle: 
  • La validación incorrecta de los datos proporcionados por el usuario en archivos EZC origina un estado de memoria corrupta que podría permitir a un atacante remoto la ejecución de código en el contexto del proceso actual en instalaciones del producto EZ PLC Editor. Es necesaria la interacción de otro usuario, para que acceda a una página maliciosa o abra un archivo malicioso. [Actualización 04/09/2019] Se ha reservado el identificador CVE-2019-13522 para esta vulnerabilidad.
  • La validación incorrecta del tamaño de los datos proporcionados por el usuario antes de copiarlos en el búfer, en archivos EZP, podría permitir a un atacante remoto la ejecución de código en el contexto del proceso actual en instalaciones del producto EZ Touch Editor. Es necesaria la interacción de otro usuario, para que acceda a una página maliciosa o abra un archivo malicioso. [Actualización 04/09/2019] Se ha reservado el identificador CVE-2019-13518 para esta vulnerabilidad.

Encuesta valoración