Fuji Electric informuje o nowych podatnościach w swoich produktach. (P26-131)

utworzone przez | kwi 9, 2026 | ICS

ProduktV-SFT w wersji 6.2.10.0 i starszych
Numer CVECVE‑2026‑32925
Krytyczność7,8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisCVE‑2026‑32925 to przepełnienie bufora stosu w funkcji VS6ComFile!CV7BaseMap::WriteV7DataToRom w V-SFT w wersji <= 6.2.10.0. Otwarcie specjalnie spreparowanego pliku projektu w wersji 7 może nadpisać pamięć stosu i potencjalnie umożliwić wykonanie dowolnego kodu. Wykorzystanie luki wymaga dostępu lokalnego i interakcji użytkownika, ale jej skutki są wysokie ze względu na możliwość całkowitego naruszenia bezpieczeństwa systemu.
  
Numer CVECVE‑2026‑32926
Krytyczność7,8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisCVE‑2026‑32926 to błąd odczytu poza zakresem w pliku VS6ComFile!load_link_inf, który wpływa na V‑SFT <= 6.2.10.0. Złośliwy plik w wersji 7 może spowodować, że aplikacja odczyta dane spoza dozwolonej pamięci, co doprowadzi do ujawnienia informacji, takich jak poufne dane konfiguracyjne. Wymagana jest interakcja użytkownika, ale wpływ na poufność jest wysoki.
  
Numer CVECVE‑2026‑32927
Krytyczność7,8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisCVE‑2026‑32927 to luka w zabezpieczeniach umożliwiająca odczyt danych poza zakresem (CWE‑125) w funkcji VS6MemInIF!set_temp_type_default w programie V‑SFT w wersji 6.2.10.0 i starszych. Otwarcie specjalnie spreparowanego pliku projektu w wersji 7 może spowodować, że aplikacja odczyta pamięć spoza docelowego bufora, co doprowadzi do ujawnienia informacji, w tym poufnej konfiguracji lub danych wewnętrznych. Skuteczne wykorzystanie luki wymaga interakcji użytkownika i odbywa się za pośrednictwem lokalnego wektora ataku, ale wpływ na poufność jest duży i może ujawnić dane, które mogłyby posłużyć do dalszych ataków.
  
Numer CVECVE‑2026‑32928
Krytyczność7,8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisCVE‑2026‑32928 to przepełnienie bufora stosu w VS6ComFile!CSaveData::_conv_AnimationItem w V‑SFT <= 6.2.10.0. Sformatowany plik w wersji 7 może przepełnić bufor stosu o stałym rozmiarze, uszkodzić pamięć i umożliwić wykonanie dowolnego kodu. Wykorzystanie tego błędu wymaga dostępu lokalnego i interakcji użytkownika.
  
Numer CVECVE‑2026‑32929
Krytyczność7,8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisCVE‑2026‑32929 to błąd odczytu poza zakresem w pliku VS6ComFile!get_macro_mem_COM, który wpływa na V‑SFT <= 6.2.10.0. Otwarcie zmodyfikowanego pliku V7 może spowodować, że aplikacja odczyta niezamierzone obszary pamięci, co doprowadzi do ujawnienia informacji, w tym poufnej konfiguracji lub danych wewnętrznych.
  
AktualizacjaTAK
Linkhttps://jvn.jp/en/vu/JVNVU90448293/index.html