Vulnerabilidad en EASYsoft de Eaton

Fecha de publicación:

08/01/2021

Importancia:

3 - Media

Recursos afectados:

EASYsoft, versiones 7.20 y anteriores.

Descripción:

Francis Provencher, junto con Trend Micro’s Zero Day Initiative, han reportado esta vulnerabilidad al CISA que podría permitir a un atacante local modificar el programa o provocar el cierre inesperado.

Solución:

Eaton está trabajando en la solución, que está prevista para finales de enero.
Eaton recomienda a los afectados que utilicen sólo archivos .E70 creados a partir de una fuente totalmente fiable y, en caso de que la aplicación falle debido a la carga del archivo .E70, reiniciar la aplicación y no volver a cargar dicho archivo .E70.
[Actualización 27/01/2021] Eaton ha publicado la versión 7.22 para corregir estas vulnerabilidades.

Detalle:

El producto afectado permite que un puntero se lea desde un objeto de un archivo, lo que provoca una confusión de tipos. Se ha asignado el identificador CVE-2020-6656 para esta vulnerabilidad.

La lectura fuera de límites podría permitir a un atacante modificar o bloquear el programa. Se ha asignado el identificador CVE-2020-6655 para esta vulnerabilidad.

Referencias:

[Actualización 27/01/2021] ICS Advisory (ICSA-21-007-03) Eaton EASYsoft

Etiquetas:

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en EASYsoft de Eaton

Múltiples vulnerabilidades en router Robustel R1510

Múltiples vulnerabilidades en Distributed Data Systems WebHMI

Autenticación incorrecta en Exemys RME1

Múltiples vulnerabilidades en Advantech iView

Múltiples vulnerabilidades en Elcomplus SmartICS