Vulnerabilidad en EASYsoft de Eaton

Fecha de publicación:

08/01/2021

Importancia:

3 - Media

Recursos afectados:

EASYsoft, versiones 7.20 y anteriores.

Descripción:

Francis Provencher, junto con Trend Micro’s Zero Day Initiative, han reportado esta vulnerabilidad al CISA que podría permitir a un atacante local modificar el programa o provocar el cierre inesperado.

Solución:

Eaton está trabajando en la solución, que está prevista para finales de enero.
Eaton recomienda a los afectados que utilicen sólo archivos .E70 creados a partir de una fuente totalmente fiable y, en caso de que la aplicación falle debido a la carga del archivo .E70, reiniciar la aplicación y no volver a cargar dicho archivo .E70.
[Actualización 27/01/2021] Eaton ha publicado la versión 7.22 para corregir estas vulnerabilidades.

Detalle:

El producto afectado permite que un puntero se lea desde un objeto de un archivo, lo que provoca una confusión de tipos. Se ha asignado el identificador CVE-2020-6656 para esta vulnerabilidad.

La lectura fuera de límites podría permitir a un atacante modificar o bloquear el programa. Se ha asignado el identificador CVE-2020-6655 para esta vulnerabilidad.

Referencias:

[Actualización 27/01/2021] ICS Advisory (ICSA-21-007-03) Eaton EASYsoft

Etiquetas:

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en EASYsoft de Eaton

Escalada de privilegios en Dream Report Remote Connector de ODS

Múltiples vulnerabilidades en productos de Hitachi Energy

Acceso no autorizado en Entrapass de Johnson Controls

Control de acceso inadecuado en productos Hitachi

Ejecución arbitraria de código en productos de Open Design Alliance