Elemento de ruta de búsqueda no controlado en jSerialComm de Fazecast
Fecha de publicación 06/05/2020
Importancia
4 - Alta
Recursos Afectados
- jSerialComm, versiones 2.2.2 y anteriores;
- EcoStruxure IT Gateway de Schneider Electric, versiones 1.5.x, 1.6.x y 1.7.x.
Descripción
El investigador, Ryan Wincey, de Securifera, trabajando con ZDE de Trend Micro, ha reportado una vulnerabilidad al CISA, de severidad alta, de tipo elemento de ruta de búsqueda no controlado en Fazecast jSerialComm.
Solución
- Fazecast recomienda actualizar jSerialComm a la versión 2.3 o posteriores;
- Schneider Electric recomienda actualizar EcoStruxure IT Gateway a la versión 1.8.1 o posteriores.
Detalle
La vulnerabilidad detectada podría permitir a un atacante remoto, no autenticado, realizar una ejecución de código arbitrario en el sistema objetivo, mediante el uso de un archivo DLL malicioso con el mismo nombre que cualquier DLL, ya existente en de la instalación de software. Se ha reservado el identificador CVE-2020-10626 para esta vulnerabilidad.
Listado de referencias
Etiquetas