Pasar al contenido principal

Fecha de publicación: 22/01/2021

Importancia:Alta

Recursos afectados:

  • ISPSoft, versión 3.12 y anteriores;
  • TPEditor, versión 1.98 y anteriores.

Descripción:

Los investigadores de seguridad, Francis Provencher y kimiya, en colaboración con ZDI de Trend Micro, han reportado 3 vulnerabilidades, todas de severidad alta, que permitirían a un atacante ejecutar código bajo los privilegios de la aplicación.

Solución:

  • Actualizar ISPSoft a la versión 3.12.01;
  • actualizar TPEditor a la versión 1.98.03.

Detalle:

  • Se ha identificado un problema de uso de memoria previamente liberada (use after free) en el procesado de los archivos de proyecto que podría permitir a un atacante crear un archivo de proyecto, especialmente diseñado, para realizar una ejecución de código arbitrario. Se ha asignado el identificador CVE-2020-27280 para esta vulnerabilidad.
  • Se ha detectado una desreferencia de puntero no confiable en el procesado de los archivos de proyecto que podría permitir a un atacante crear un archivo de proyecto, especialmente diseñado, para realizar una ejecución de código arbitrario. Se ha asignado el identificador CVE-2020-27288 para esta vulnerabilidad.
  • El producto afectado es vulnerable a dos instancias de escritura fuera de límites en el procesado de los archivos de proyecto, lo que podría permitir a un atacante crear un archivo de proyecto, especialmente diseñado, para realizar una ejecución de código arbitrario. Se ha asignado el identificador CVE-2020-27284 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:Actualización, Infraestructuras críticas, Vulnerabilidad

Compartir

Compartir en Linkedin