Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Delta Industrial Automation

Fecha de publicación 02/03/2022
Importancia
4 - Alta
Recursos Afectados
  • CNCSoft ScreenEditor,
  • DIAEnergie.
Descripción

ZDI ha publicado múltiples vulnerabilidades, 3 de severidad alta y una baja, en productos Delta Industrial Automation que podrían permitir a un atacante la ejecución remota de código o la divulgación de información sensible.

Solución

Dada la naturaleza de las vulnerabilidades, actualmente la única medida de mitigación es restringir la interacción con la aplicación.

Detalle
  • La validación inadecuada de los datos suministrados por el usuario en el endpoint HandlerPage_KID podría permitir a un atacante autenticado la ejecución remota de código en el contexto del servidor web mediante la carga de archivos arbitrarios.
  • La validación inadecuada de las cadenas suministradas por el usuario en el endpoint AM_Handler, antes de utilizarlas para construir consultas SQL, podría permitir a un atacante autenticado acceder a las credenciales almacenadas.
  • La validación inadecuada de la longitud de los datos suministrados por el usuario, antes de copiarlos en un búfer de longitud fija basado en la pila, podría permitir a un atacante la ejecución remota de código en el contexto del administrador. Para ello, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso.
  • La validación inadecuada de los datos suministrados por el usuario en el análisis de los archivos DPB podría permitir a un atacante la ejecución remota de código en el contexto del administrador. Para ello, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso.

Encuesta valoración