Fecha de publicación: 02/03/2022
Importancia:
Alta
Recursos afectados:
- CNCSoft ScreenEditor,
- DIAEnergie.
Descripción:
ZDI ha publicado múltiples vulnerabilidades, 3 de severidad alta y una baja, en productos Delta Industrial Automation que podrían permitir a un atacante la ejecución remota de código o la divulgación de información sensible.
Solución:
Dada la naturaleza de las vulnerabilidades, actualmente la única medida de mitigación es restringir la interacción con la aplicación.
Detalle:
- La validación inadecuada de los datos suministrados por el usuario en el endpoint HandlerPage_KID podría permitir a un atacante autenticado la ejecución remota de código en el contexto del servidor web mediante la carga de archivos arbitrarios.
- La validación inadecuada de las cadenas suministradas por el usuario en el endpoint AM_Handler, antes de utilizarlas para construir consultas SQL, podría permitir a un atacante autenticado acceder a las credenciales almacenadas.
- La validación inadecuada de la longitud de los datos suministrados por el usuario, antes de copiarlos en un búfer de longitud fija basado en la pila, podría permitir a un atacante la ejecución remota de código en el contexto del administrador. Para ello, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso.
- La validación inadecuada de los datos suministrados por el usuario en el análisis de los archivos DPB podría permitir a un atacante la ejecución remota de código en el contexto del administrador. Para ello, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso.
Etiquetas:
Actualización, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.