Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en varios productos de Delta Electronics

Múltiples vulnerabilidades en varios productos de Delta Electronics

Fecha de publicación: 
22/01/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • ISPSoft, versión 3.12 y anteriores;
  • TPEditor, versión 1.98 y anteriores.
Descripción: 

Los investigadores de seguridad, Francis Provencher y kimiya, en colaboración con ZDI de Trend Micro, han reportado 3 vulnerabilidades, todas de severidad alta, que permitirían a un atacante ejecutar código bajo los privilegios de la aplicación.

Solución: 
  • Actualizar ISPSoft a la versión 3.12.01;
  • actualizar TPEditor a la versión 1.98.03.
Detalle: 
  • Se ha identificado un problema de uso de memoria previamente liberada (use after free) en el procesado de los archivos de proyecto que podría permitir a un atacante crear un archivo de proyecto, especialmente diseñado, para realizar una ejecución de código arbitrario. Se ha asignado el identificador CVE-2020-27280 para esta vulnerabilidad.
  • Se ha detectado una desreferencia de puntero no confiable en el procesado de los archivos de proyecto que podría permitir a un atacante crear un archivo de proyecto, especialmente diseñado, para realizar una ejecución de código arbitrario. Se ha asignado el identificador CVE-2020-27288 para esta vulnerabilidad.
  • El producto afectado es vulnerable a dos instancias de escritura fuera de límites en el procesado de los archivos de proyecto, lo que podría permitir a un atacante crear un archivo de proyecto, especialmente diseñado, para realizar una ejecución de código arbitrario. Se ha asignado el identificador CVE-2020-27284 para esta vulnerabilidad.

Encuesta valoración