ICS-CERT opublikował informacje o nowych podatnościach w produktach firm NUUO i Delta Electronics
Producent: NUUO
Opis podatności:
CVE-2018-1149 – przepełnienie bufora spowodowane brakiem sprawdzania podawanych przez użytkownika danych, mogło skutkować zdalnym wykonanie kodu na podatnym urządzeniu.
CVE-2018-1150 – w pewnych przypadkach, w systemie plików istnieją pliki, które pozwalają nieuwierzytelnionemu atakującemu na dostęp lub modyfikacje do poufnych lub chronionych plików, które pozwalają na zdalne wykonanie kodu na podatnym urządzeniu.
Podatne urządzenia: Nuuo NVRmini2 i NVRsolo 3.8.0 i wcześniejsze
Opis podatności:
CVE-2018-17888 – program używa mechanizmu identyfikacji sesji, który pozwalał atakującemu na pozyskanie numeru ID aktywnej sesji, co pozwala na zdalne wykonanie kodu na podatnym urządzeniu.
CVE-2018-17890 – program używał niezabezpieczonego i nieaktualnego modułu, co pozwalało na zdalne wykonanie kodu na podatnej maszynie.
CVE-2018-17892 – mechanizm kontroli konta użytkownika, który zapewnia podstawowe funkcje bezpieczeństwa, nie działa w sposób zamierzony, co pozwala na zdalne wykonanie kodu.
CVE-2018-17894 – program tworzy domyślne konta, co pozwala osobie atakującej na uzyskanie dostępu.
Podatne urządzenia: Nuuo CMS 3.1 i wcześniejsze
Producent: Delta Industrial
Opis podatności:
CVE-2018-17929 – przepełnienie bufora pozwalające na zdalne wykonanie kodu.
CVE-2018-17927 – luka typu “out-of-bounds” pozwala na zdalne wykonanie kodu.
Podatne urządzenia: TPEditor 1.90 i wcześniejsze
Więcej informacji:
https://ics-cert.us-cert.gov/advisories/ICSA-18-284-01
https://ics-cert.us-cert.gov/advisories/ICSA-18-284-02
https://ics-cert.us-cert.gov/advisories/ICSA-18-284-03
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny