Múltiples vulnerabilidades en SoftCMS de Moxa
Fecha de publicación:
18/11/2016
Importancia:
5 -
Crítica
Recursos afectados:
- SoftCMS versiones anteriores a la versión 1.6
Descripción:
El investigador Zhou Yu, trabajando con el equipo Zero Day Initiative de Trend Micro, y Gu Ziqiang de Huawei Weiran Labs and identificado varias vulnerabilidades que afectan a la aplicación servidor web SoftCMS de Moxa.
Solución:
La mitigación propuesta por Moxa consiste en actualizar la aplicación a la versión 1.6, que está disponible para descargar en la web de Moxa.
Detalle:
Las vulnerabilidades detectadas son:
- Validación de datos inadecuada: El producto afectado no realiza una validación de los datos adecuada. Un atacante remoto podría proporcionar valores no esperados y causar que el programa falle o consuma recursos excesivos que podrían resultar en una denegación de servicio. Se ha reservado el identificador CVE-2016-9332 para esta vulnerabilidad.
- Repetición de liberación de espacio: Una petición URL especialmente preparada enviada al servidor Web SoftCMS ASP puede causar una condición de doble liberación del mismo espacio de memoria en el servidor, permitiendo a un atacante remoto modificar localizaciones de memoria y posibilitar una denegación de servicio o la ejecución de código arbitrario. Se ha reservado el identificador CVE-2016-8360 para esta vulnerabilidad.
- Inyección SQL: El producto afectado no realiza un tratamiento adecuado las entradas y puede proporcionar a un atacante remoto acceso con privilegios de administador a través de una entrada especialmente preparada. Se ha reservado el identificador CVE-2016-9333 para esta vulnerabilidad.
Referencias:
Etiquetas: