Múltiples vulnerabilidades en Delta Electronics DIAScreen
DIAScreen, versiones anteriores a 1.5.0.
El investigador Natnael Samson, en colaboración con ZDI, de Trend Micro, ha reportado 3 vulnerabilidades de severidad alta que afectan al paquete de software de ingeniería integrado DIAScreen del fabricante Delta Electronics. La explotación de estas vulnerabilidades podría bloquear el dispositivo afectado. Además, una condición de desbordamiento de búfer podría permitir la ejecución remota de código.
Delta Electronics ha publicado la versión 1.5.0 de DIAScreen que soluciona estas vulnerabilidades (requiere login para la descarga).
Si un atacante engañase a un usuario válido para que ejecute DIAScreen con un archivo malicioso, se podría explotar un desbordamiento de búfer basado en pila (stack) en BACnetObjectInfo, BACnetParameter o CEtherIPTagItem, permitiendo a un atacante remoto ejecutar código arbitrario.
Se han asignado los identificadores CVE-2024-47131, CVE-2024-39605 y CVE-2024-39354 para estas vulnerabilidades, respectivamente, según el parámetro afectado.
