[Actualización 07/06/2023] Ejecución de código en CNCSoft-B de Delta Electronics
Fecha de publicación 02/06/2023
Identificador
INCIBE-2023-0208
Importancia
4 - Alta
Recursos Afectados
[Actualización 07/06/2023] CNCSoft-B DOPSoft, versiones 1.0.0.4 y anteriores.
Descripción
Natnael Samson ha reportado 2 vulnerabilidades de severidad alta que podrían permitir a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Delta Electronics.
Solución
Solucionado en CNCSoft-B DOPSoft v4.0.0.82 y posteriores.
Detalle
La vulnerabilidad detectada requiere la interacción del usuario, ya que debe visitar una página maliciosa o abrir un archivo malicioso. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en la pila. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Se ha asignado el identificador CVE-2023-25177 para esta vulnerabilidad.
[Actualización 07/06/2023] Una vulnerabilidad de desbordamiento de búfer basado en la pila (heap) podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2023-24014 para esta vulnerabilidad.
Listado de referencias
