Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Delta Electronics DOPSoft

Fecha de publicación 07/01/2021
Importancia
4 - Alta
Recursos Afectados
  • DOPSoft, versiones 4.0.8.21 y anteriores.
Descripción

Kimiya, trabajando con la iniciativa Zero Day de Trend Micro, ha informado al CISA de dos vulnerabilidades, de severidad alta, que podrían permitir a un atacante la ejecución arbitraria de código.

Solución
  • Actualizar a la versión 4.00.10.17 o superior.
  • Utilizar DOPSoft v4.00.10.17 para abrir archivos de proyecto antiguos (*.dpa) y luego guardarlos como archivos nuevos, después eliminar los archivos antiguos.
  • Limitar la interacción de la aplicación solo a archivos confiables.
Detalle

Las vulnerabilidades de escritura fuera de límites o de referencia a un puntero nulo, podrían permitir a un atacante ejecutar código arbitrario, mientras se procesan archivos de proyecto. Se han asignado los identificadores CVE-2020-27275 y CVE-2020-27277 para estas vulnerabilidades.

Encuesta valoración