Vulnerabilidad en EASYsoft de Eaton

Fecha de publicación:

08/01/2021

Importancia:

3 - Media

Recursos afectados:

EASYsoft, versiones 7.20 y anteriores.

Descripción:

Francis Provencher, junto con Trend Micro’s Zero Day Initiative, han reportado esta vulnerabilidad al CISA que podría permitir a un atacante local modificar el programa o provocar el cierre inesperado.

Solución:

Eaton está trabajando en la solución, que está prevista para finales de enero.
Eaton recomienda a los afectados que utilicen sólo archivos .E70 creados a partir de una fuente totalmente fiable y, en caso de que la aplicación falle debido a la carga del archivo .E70, reiniciar la aplicación y no volver a cargar dicho archivo .E70.

Detalle:

El producto afectado permite que un puntero se lea desde un objeto de un archivo, lo que provoca una confusión de tipos. Se ha asignado el identificador CVE-2020-6656 para esta vulnerabilidad.

La lectura fuera de límites podría permitir a un atacante modificar o bloquear el programa. Se ha asignado el identificador CVE-2020-6655 para esta vulnerabilidad.

Referencias:

ICS Advisory (ICSA-21-007-03) Eaton EASYsoft

Etiquetas:

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en EASYsoft de Eaton

Consumo incontrolado de recursos en controladores MELFA de Mitsubishi Electric

Múltiples vulnerabilidades en OPC UA Tunneller de Matrikon

Múltiples vulnerabilidades en varios productos de Delta Electronics

Vulnerabilidad de denegación de servicio en AC500 V2 de ABB

Múltiples vulnerabilidades en Bosch Fire Monitoring System