Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Elemento de ruta de búsqueda no controlado en jSerialComm de Fazecast

Fecha de publicación 06/05/2020
Importancia
4 - Alta
Recursos Afectados
  • jSerialComm, versiones 2.2.2 y anteriores;
  • EcoStruxure IT Gateway de Schneider Electric, versiones 1.5.x, 1.6.x y 1.7.x.
Descripción

El investigador, Ryan Wincey, de Securifera, trabajando con ZDE de Trend Micro, ha reportado una vulnerabilidad al CISA, de severidad alta, de tipo elemento de ruta de búsqueda no controlado en Fazecast jSerialComm.

Solución
Detalle

La vulnerabilidad detectada podría permitir a un atacante remoto, no autenticado, realizar una ejecución de código arbitrario en el sistema objetivo, mediante el uso de un archivo DLL malicioso con el mismo nombre que cualquier DLL, ya existente en de la instalación de software. Se ha reservado el identificador CVE-2020-10626 para esta vulnerabilidad.

Encuesta valoración