Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en V-Server y V-Server Lite de Fuji Electric

Fecha de publicación 12/09/2018
Importancia
4 - Alta
Recursos Afectados
  • V-Server VPR, versión 4.0.3.0 y anteriores
  • V-Server Lite, versión 4.0.3.0 y anteriores
Descripción

El investigador Steven Seeley de Source Incite y el investigador Ariele Caltabiano, trabajando con Zero Day Initiative de Trend Micro, han reportado estas vulnerabilidades que podrían permitir a un atacante la ejecución remota de código, la denegación de servicio en el dispositivo o el acceso a información sensible.

Solución

Fuji Electric ha publicado la versión de firmware 4.0.4.0 que soluciona estas vulnerabilidades, se encuentre disponible en el siguiente enlace:

http://monitouch.fujielectric.com/site/support-e/download-index-01.html

Detalle
  • Un atacante podría conseguir la ejecución remota de código mediante el uso de un fichero especialmente diseñado, causando un desbordamiento de búfer. Se ha reservado el identificador CVE-2018-10637 para esta vulnerabilidad.
  • Un atacante podría conseguir la ejecución remota de código mediante desreferencia de puntero no confiable. Se ha reservado el identificador CVE-2018-14811 para esta vulnerabilidad.
  • Mediante el desbordamiento de búfer basado en el heap, un atacante podría conseguir la ejecución de código no confiable. Se ha reservado el identificador CVE-2018-14813 para esta vulnerabilidad.
  • A través de varias vulnerabilidades de escritura fuera de límites, un potencial atacante podría conseguir la ejecución remota de código. Se ha reservado el identificador CVE-2018-14815 para esta vulnerabilidad.
  • Un atacante podría conseguir ejecución remota de código gracias a una vulnerabilidad de desbordamiento de enteros. Se ha reservado el identificador CVE-2018-14817 para esta vulnerabilidad.
  • Aprovechando una vulnerabilidad de lectura fuera de límites, un atacante podría conseguir la ejecución remota de código. Se ha reservado el identificador CVE-2018-14819 para esta vulnerabilidad.
  • El desbordamiento de búfer basado en la pila podría permitir a un atacante la ejecución remota de código. Se ha reservado el identificador CVE-2018-14823 para esta vulnerabilidad.

Encuesta valoración