ICS-CERT poinformował o podatności w produktach Delta Electronics, AVEVA oraz Schneider Electric.

Producent: Delta Electronics

Podatności:

  • CVE-2019-10982 – przepełnienie bufora na stercie, może zostać wykorzystane przez przetwarzanie spreparowanych plików projektu, umożliwiając atakującemu zdalne wykonanie dowolnego kodu.
  • CVE-2019-10992 – luka typu “out-of-bounds read” może prowadzić do ujawnienia informacji z powodu braku walidacji danych wejściowych użytkownika do przetwarzania plików projektu.

Podatne produkty:

  • CNCSoft ScreenEditor, wersja 1.00.89 i wcześniejsze

Więcej informacji: https://www.us-cert.gov/ics/advisories/icsa-19-192-01

Producent: AVEVA / Schneider Electric

Podatności: 

  • CVE-2018-20031 – podatność umożliwiająca wywołanie odmowy usługi (DoS) związana z usuwaniem elementów blokujących w komponentach lmadmin.
  • CVE-2018-20032 – podatność umożliwiająca wywołanie odmowy usługi (DoS) związana z dekodowaniem wiadomości w komponentach lmadmin.
  • CVE-2018-20033 – podatność umożliwiająca zdalne wykonanie kodu, umożliwia zdalnemu atakującemu uszkodzenie pamięci poprzez przydzielenie/zwolnienie pamięci lub zatrzymanie komunikacji między lmadmin, a dostawcą.
  • CVE-2018-20034 – podatność umożliwiająca wywołanie odmowy usługi (DoS) związana z dodaniem elementu do listy w komponentach lmadmin.

Podatne produkty:

  • Floating License Manager, wersja 2.3.0.0 i wcześniejsze

Więcej informacji:

https://www.us-cert.gov/ics/advisories/icsa-19-192-05

https://www.us-cert.gov/ics/advisories/icsa-19-192-07

Producent: Schneider Electric

Podatności: 

  • CVE-2019-6827 – luka typu “out-of-bounds” może zostać wykorzystana przez aplikacje przetwarzającą spreparowany plik projektu. Istnieje możliwość spowodowania awarii oprogramowania, gdy dane w bazie mdb są manipulowane lub umożliwiają wykonanie kodu.

Podatne produkty:

  • Interactive Graphical SCADA System (IGSS), wersja 14 i wcześniejsze

Więcej informacji: https://www.us-cert.gov/ics/advisories/icsa-19-192-06