Múltiples vulnerabilidades en TPEditor de Delta Electronics
Fecha de publicación 15/10/2018
Importancia
3 - Media
Recursos Afectados
- Delta Industrial Automation TPEditor, versión 1.90 y anteriores.
Descripción
El investigador Ariele Caltabiano de 9SG Security Team y Mat Powell, en colaboración con Zero Day Initiative, han reportado varias vulnerabilidades de desbordamiento de búfer y de escritura fuera de límites que afectan a TPEditor de Delta Electronics. Un atacante podría ejecutar código arbitrario y divulgar información sensible.
Solución
Delta Electronics ha publicado la versión 1.91 de TPEditor que soluciona estas vulnerabilidades.
Detalle
- Mediante un fichero especialmente manipulado, un atacante podría aprovechar la falta de validación de los datos de entrada del usuario antes de copiarlos del fichero de proyecto a la pila y, de este modo, conseguir la ejecución remota de código. Se ha asignado el identificador CVE-2018-17929 para esta vulnerabilidad.
- Un atacante podría realizar la ejecución remota de código utilizando un fichero especialmente manipulado para aprovechar la falta de validación de los datos de entrada del usuario y escribir fuera de los límites asignados. Se ha asignado el identificador CVE-2018-17927 para esta vulnerabilidad.
Listado de referencias
Etiquetas