Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en HMiSoft VU3 de Eaton

Fecha de publicación 15/04/2020
Importancia
4 - Alta
Recursos Afectados

HMiSoft VU3, versión 3.00.23 y anteriores.

Descripción

Natnael Samson, trabajando conjuntamente con ZDI de Trend Micro, ha reportado al CISA dos vulnerabilidades, una de severidad alta y otra media, de desbordamiento de búfer basado en pila y lectura fuera de límites.

Solución

Eaton dejó de fabricar el producto afectado el 31/12/2018, por lo que ya no proporciona, actualmente, servicio técnico, ni correcciones de seguridad. HMiVU fue reemplazado por la gama de productos XV100 y XV300. Se recomienda que los usuarios de HMiVU se pongan en contacto con Eaton para obtener asistencia técnica y de migración a la solución XV.

Detalle
  • Un archivo de entrada, especialmente diseñado, puede causar un desbordamiento del búfer de la pila (stack) cuando el producto afectado lo carga. Se ha reservado el identificador CVE-2020-10639 para esta vulnerabilidad.
  • Un archivo de entrada, especialmente diseñado, podría desencadenar una lectura fuera de los límites cuando el producto afectado lo cargue. Se ha reservado el identificador CVE-2020-10637 para esta vulnerabilidad.

Encuesta valoración

Etiquetas