Fecha de publicación: 25/02/2022
Importancia:
Alta
Recursos afectados:
FvDesigner, versión 1.5.100 y anteriores.
Descripción:
Khangkito, investigador de VinCSS, y xina1i, en colaboración con ZDI de Trend Micro, han reportado 3 vulnerabilidades de severidad alta, que podrían permitir a un atacante ejecutar código arbitrario.
Solución:
FATEK no ha respondido a las solicitudes de colaboración con CISA para mitigar estas vulnerabilidades. Se invita a los usuarios de estos productos afectados a ponerse en contacto con el servicio de atención al cliente de FATEK para obtener información adicional.
Detalle:
- Un desbordamiento de búfer basado en la pila al procesar archivos de proyecto podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2022-25170 para esta vulnerabilidad.
- Una escritura fuera de límites al procesar archivos de proyecto podría permitir a un atacante crear un archivo de proyecto, que permitiese la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-23985 para esta vulnerabilidad.
- Una lectura fuera de límites al procesar archivos de proyecto podría permitir a un atacante crear un archivo de proyecto, que permitiese la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-21209 para esta vulnerabilidad.
Etiquetas:
0day, Infraestructuras críticas, IoT, SCADA, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.