ProduktCommunication Server, wersja 1.13 i wcześniejsze
Numer CVECVE-2021-38432
Krytyczność9.8 / 10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisBrak odpowiedniej walidacji danych dostarczonych przez użytkownika może doprowadzić do przepełnienia bufora na stosie i pozwolić atakującemu na zdalne wykonanie kodu.
AktualizacjaDostępne są działania łagodzące występowanie podatności
Linkhttps://us-cert.cisa.gov/ics/advisories/icsa-21-280-07
ProduktWinProladder, wersja 3.30 i wcześniejsze
Numer CVECVE-2021-38438
Krytyczność7.8 / 10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisLuka use after free może zostać wykorzystana, gdy prawidłowy użytkownik otworzy źle sformatowany plik projektu, co może umożliwić wykonanie dowolnego kodu.
Numer CVECVE-2021-38426
CVE-2021-38434
Krytyczność7.8 / 10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisNieprawidłowe sprawdzanie danych dostarczonych przez użytkownika podczas analizowania plików projektu, co może skutkować niepoprawnym zapisem. Atakujący może wykorzystać tę lukę do wykonania dowolnego kodu.
Numer CVECVE-2021-38436
Krytyczność7.8 / 10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisNieprawidłowe sprawdzanie danych dostarczonych przez użytkownika podczas analizowania plików projektu, co może spowodować uszkodzenie pamięci. Atakujący może wykorzystać tę lukę do wykonania dowolnego kodu w kontekście bieżącego procesu.
Numer CVECVE-2021-38430
Krytyczność7.8 / 10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisNieprawidłowe sprawdzanie danych dostarczonych przez użytkownika podczas analizowania plików projektu, co może skutkować przepełnieniem buforu na stosie. Atakujący może wykorzystać tę lukę do wykonania dowolnego kodu.
AktualizacjaTAK
Linkhttps://us-cert.cisa.gov/ics/advisories/icsa-21-280-06