یک آسیبپذیری با شناسه CVE-2024-4192 و شدت بالا (7.8) در Delta Electronics CNCSoft-G2 کشف شده است. طبق بررسیهای صورت گرفته، CNCSoft-G2 فاقد اعتبارسنجی مناسب طول دادههای ارائه شده توسط کاربر، قبل از کپی کردن آن در بافر مبتنی بر پشته با طول ثابت است. یک مهاجم با بهرهبرداری از این آسیبپذیری میتواند کد دلخواه خود را اجرا کند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H بهرهبرداری از آن از طریق شبکه محلی امکانپذیر است (AV:L) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است و به شرایط خاصی نیاز نیست (AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N) و به تعامل کاربر نیاز دارند (UL:R)، بهرهبرداری از آسیبپذیریهای مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند (C:H/I:H/A:H).
محصولات تحت تأثیر
این آسیبپذیری نسخههای قبل از نسخه CNCSoft-G2 v2.1.0.4را تحت تأثیر قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشود دستگاه مورد استفاده خود را اسرع وقت به نسخه CNCSoft-G2 v2.1.0.4 یا بالاتر ارتقاء دهند.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-4192
[2] https://www.cisa.gov/news-events/ics-advisories/icsa-24-121-01
- 29