Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos EZAutomation

Múltiples vulnerabilidades en productos EZAutomation

Fecha de publicación: 
13/08/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • EZTouch Editor.
  • EZPLC.
Descripción: 

El equipo de 9sg Security Team ha reportado dos vulnerabilidades de tipo desbordamiento de búfer y corrupción de memoria en análisis de archivos, que podrían permitir a un atacante remoto la ejecución de código arbitrario en instalaciones vulnerables de EZTouch Editor y EZPLC.

Solución: 

Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación es restringir la interacción con la aplicación.

Detalle: 
  • La validación incorrecta de los datos proporcionados por el usuario en archivos EZC origina un estado de memoria corrupta que podría permitir a un atacante remoto la ejecución de código en el contexto del proceso actual en instalaciones del producto EZPLC. Es necesaria la interacción de otro usuario, para que acceda a una página maliciosa o abra un archivo malicioso.
  • La validación incorrecta del tamaño de los datos proporcionados por el usuario antes de copiarlos en el búfer, en archivos EZP, podría permitir a un atacante remoto la ejecución de código en el contexto del proceso actual en instalaciones del producto EZTouch Editor. Es necesaria la interacción de otro usuario, para que acceda a una página maliciosa o abra un archivo malicioso.

Encuesta valoración

Etiquetas: