کشف آسیب‌پذیری در Delta Electronics CNCSoft-G2

کشف آسیب‌پذیری در Delta Electronics CNCSoft-G2

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-4192 و شدت بالا (7.8) در Delta Electronics CNCSoft-G2 کشف شده است. طبق بررسی‌های صورت گرفته، CNCSoft-G2 فاقد اعتبارسنجی مناسب طول داده‌های ارائه شده توسط کاربر، قبل از کپی کردن آن در بافر مبتنی بر پشته با طول ثابت است. یک مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند کد دلخواه خود را اجرا کند.
بر اساس بردار حمله این آسیب‌پذیری‌  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H بهره‌برداری از آن‌ از طریق شبکه محلی امکان‌پذیر است (AV:L) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست (AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N) و به تعامل کاربر نیاز دارند  (UL:R)، بهره‌برداری از آسیب‌پذیری‌های مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).

محصولات تحت تأثیر
این آسیب‌پذیری‌ نسخه‌های قبل از نسخه   CNCSoft-G2 v2.1.0.4را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود دستگاه مورد استفاده خود را اسرع وقت به نسخه CNCSoft-G2 v2.1.0.4 یا بالاتر ارتقاء دهند.

منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-4192
[2] https://www.cisa.gov/news-events/ics-advisories/icsa-24-121-01