Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Desbordamientos de búfer en CNCSoft de Delta Industrial Automation

Fecha de publicación 17/04/2019
Importancia
4 - Alta
Recursos Afectados
  • CNCSoft ScreenEditor versión 1.00.88 y anteriores.
Descripción

El investigador de seguridad Natnael Samson y un investigador anónimo, en colaboración con Zero Day Initiative (ZDI) de Trend Micro, han reportado estas vulnerabilidades de tipo desbordamiento de búfer que podrían permitir a un atacante revelar información, ejecutar código remoto o provocar un funcionamiento incorrecto de la aplicación.

Solución
Detalle
  • La incorrecta validación de los parámetros de entrada antes de copiar los datos de los archivos de proyecto en la pila o en la memoria dinámica (heap), permite el desbordamiento de búfer. Un atacante podría procesar ficheros de proyecto especialmente diseñados para ejecutar código remoto. Se han reservado los identificadores CVE-2019-10947 y CVE-2019-10951 para estas vulnerabilidades.
  • La incorrecta validación de los parámetros de entrada antes de copiar los datos de los archivos de proyecto podría permitir a un atacante la lectura fuera de límite, consiguiendo la divulgación de información. Se ha reservado el identificador CVE-2019-10949 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias