Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades 0day en Fatek Automation FvDesigner

Fecha de publicación 01/06/2023
Identificador

INCIBE-2023-0205

Importancia
4 - Alta
Recursos Afectados

FvDesigner, de Fatek Automation.

Descripción

ZDI ha publicado 12 vulnerabilidades 0day que afectan al producto FvDesigner del fabricante Fatek Automation, cuya explotación podría permitir a un atacante la ejecución de código arbitrario en el producto afectado.

Solución

Dada la naturaleza de las vulnerabilidades, la única estrategia de mitigación destacada es restringir la interacción con la aplicación.

 

Detalle

Las vulnerabilidades se han detectado en el proceso de parseo de archivos FPJ con la siguiente casuística:

  • La falta de validación adecuada de los datos suministrados por el usuario podría ocasionar una escritura más allá del final de una estructura de datos asignada. Se han asignado los identificadores CVE-2023-34262, CVE-2023-34264, CVE-2023-34265, CVE-2023-34266, CVE-2023-34267, CVE-2023-34268, CVE-2023-34269, CVE-2023-34270, CVE-2023-34271 y CVE-2023-34273 para estas vulnerabilidades.
  • La inicialización incorrecta de un puntero antes de acceder a él. Se han asignado los identificadores CVE-2023-34263 y CVE-2023-34272 para estas vulnerabilidades.