ICS-CERT informuje o podatnościach w produktach firmy Delta Electronics. (P24-226)

cert.pse-online.pl 3 miesięcy temu

Produkt	CNCSoft-G2: Wersja 2.0.0.5
Numer CVE	CVE-2024-39880
Krytyczność	7,8/10
CVSS	AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis	Delta Electronics CNCSoft-G2 nie sprawdza schematy długości danych dostarczonych przez użytkownika przed skopiowaniem ich do bufora opartego na stosie o stałej długości. jeżeli cel odwiedzi złośliwą stronę lub otworzy złośliwy plik, osoba atakująca może wykorzystać tę lukę do wykonania kodu w kontekście bieżącego procesu.

Numer CVE	CVE-2024-39881
Krytyczność	7,8/10
CVSS	AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis	Delta Electronics CNCSoft-G2 nie sprawdza schematy danych dostarczonych przez użytkownika, co może skutkować uszkodzeniem pamięci. jeżeli cel odwiedzi złośliwą stronę lub otworzy złośliwy plik, osoba atakująca może wykorzystać tę lukę do wykonania kodu w kontekście bieżącego procesu.

Numer CVE	CVE-2024-39882
Krytyczność	7,8/10
CVSS	AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis	Delta Electronics CNCSoft-G2 nie posiada odpowiedniej walidacji danych dostarczonych przez użytkownika, co może skutkować odczytem poza końcem przydzielonego bufora. jeżeli cel odwiedzi złośliwą stronę lub otworzy złośliwy plik, osoba atakująca może wykorzystać tę lukę do wykonania kodu w kontekście bieżącego procesu.

Numer CVE	CVE-2024-39880
Krytyczność	7,8/10
CVSS	AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis	Delta Electronics CNCSoft-G2 nie sprawdza schematy długości danych dostarczonych przez użytkownika przed skopiowaniem ich do bufora opartego na stercie o stałej długości. jeżeli cel odwiedzi złośliwą stronę lub otworzy złośliwy plik, osoba atakująca może wykorzystać tę lukę do wykonania kodu w kontekście bieżącego procesu.

Aktualizacja	TAK
Link	https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-01