Múltiples vulnerabilidades en productos Fuji Electric

Fecha de publicación 27/01/2021
Importancia
4 - Alta
Recursos Afectados
  • Tellus Lite V-Simulator, versiones anteriores a la v4.0.10.0;
  • V-Server Lite, versiones anteriores a la v4.0.10.0.
Descripción

Se han publicado múltiples vulnerabilidades en productos de Fuji Electric que podrían permitir a un atacante ejecutar código con los mismos privilegios que la aplicación.

Solución

Actualizar a la versión v4.0.10.0:

Detalle

La forma en la que la aplicación procesa los archivos de proyecto podría permitir a un atacante crear un archivo de proyecto, especialmente diseñado, para ejecutar código arbitrario, aprovechando alguna de las siguientes vulnerabilidades:

  • Desbordamiento de búfer basado en pila (stack). Se ha asignado el identificador CVE-2021-22637 para esta vulnerabilidad.
  • Lectura fuera de límites. Se ha asignado el identificador CVE-2021-22655 para esta vulnerabilidad.
  • Escritura fuera de límites. Se ha asignado el identificador CVE-2021-22653 para esta vulnerabilidad.
  • Puntero no inicializado. Se ha asignado el identificador CVE-2021-22639 para esta vulnerabilidad.
  • Desbordamiento de búfer basado en memoria dinámica (heap). Se ha asignado el identificador CVE-2021-22641 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-21-026-01) Fuji Electric Tellus Lite V-Simulator and V-Server Lite
Etiquetas