Múltiples vulnerabilidades en Delta Electronics

Fecha de publicación 08/01/2018

Importancia

3 - Media

Recursos Afectados

Delta Industrial Automation Screen Editor, Versión 2.00.23.00 o anteriores

Descripción

Detectadas varias vulnerabilidades en Delta Industrial Automation Screen Editor. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código arbitrario.

Solución

Data Electronics recomienda a los usuarios afectados actualizar a la última versión de DOPSoft versión 2, disponible en el siguiente enlace:

www.deltaww.com/Products/PluginWebUserControl/downloadCenterCounter.aspx?DID=9313&DocPath=1&hl=en-US

Detalle

El investigador Steven Seelety de Source Incite, ha reportado cuatro vulnerabilidades que afectan a la interfaz gráfica de usuario de Delta Industrial Automation Screen Editor.

Las vulnerabilidades reportadas son:

Desbordamiento de la pila "STACK-Based", debido al procesamiento de archivos .dpb, lo cual podría permitir a un atacante remoto ejecutar código arbitrario. Para esta vulnerabilidad se ha asignado el CVE-2017-16751.
Vulnerabilidad "Use-after-free", los archivos .dbp podrían ser utilizados para explotar esta vulnerabilidad. Para esta vulnerabilidad se ha asignado el CVE-2017-16749.
Escritura fuera de límites, los archivos .dbp podrían ser utilizados para que el sistema escriba fuera del area de memoria. Para esta vulnerabilidad se ha asignado el CVE-2017-16747.
Acceso a recursos usando un tipo de dato incompatible "type confusion", lo cual podría permitir a un atacante ejecutar código remoto procesando archivos .dpb. Para esta vulnerabilidad se ha asignado el CVE-2017-16745.

Listado de referencias

Delta Electronics DOPSoft Version 2

Advisory (ICSA-18-004-01)

Etiquetas

Vulnerabilidad