Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en varios productos de Delta Electronics

Fecha de publicación 22/01/2021
Importancia
4 - Alta
Recursos Afectados
  • ISPSoft, versión 3.12 y anteriores;
  • TPEditor, versión 1.98 y anteriores.
Descripción

Los investigadores de seguridad, Francis Provencher y kimiya, en colaboración con ZDI de Trend Micro, han reportado 3 vulnerabilidades, todas de severidad alta, que permitirían a un atacante ejecutar código bajo los privilegios de la aplicación.

Solución
  • Actualizar ISPSoft a la versión 3.12.01;
  • actualizar TPEditor a la versión 1.98.03.
Detalle
  • Se ha identificado un problema de uso de memoria previamente liberada (use after free) en el procesado de los archivos de proyecto que podría permitir a un atacante crear un archivo de proyecto, especialmente diseñado, para realizar una ejecución de código arbitrario. Se ha asignado el identificador CVE-2020-27280 para esta vulnerabilidad.
  • Se ha detectado una desreferencia de puntero no confiable en el procesado de los archivos de proyecto que podría permitir a un atacante crear un archivo de proyecto, especialmente diseñado, para realizar una ejecución de código arbitrario. Se ha asignado el identificador CVE-2020-27288 para esta vulnerabilidad.
  • El producto afectado es vulnerable a dos instancias de escritura fuera de límites en el procesado de los archivos de proyecto, lo que podría permitir a un atacante crear un archivo de proyecto, especialmente diseñado, para realizar una ejecución de código arbitrario. Se ha asignado el identificador CVE-2020-27284 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-21-021-01) Delta Electronics ISPSoft
ICS Advisory (ICSA-21-021-02) Delta Electronics TPEditor
Etiquetas