В ПО WECON для промышленных систем обнаружена критическая уязвимость
Проблема позволяет добиться переполнения буфера и удаленно выполнить произвольный код.
Исследователи безопасности из команды Trend Micro Zero Day Initiative обнаружили в ПО для программирования человеко-машинных интерфейсов (ЧМИ) от компании WECON критическую уязвимость , позволяющую удаленно выполнить произвольный код. Проблема затрагивает продукты LEVI Studio HMI Editor и PI Studio HMI Project Programmer.
Уязвимость CVE-2018-7527 представляет собой проблему переполнения буфера в стеке, которого можно добиться путем отправки специально сформированного файла. При успешной эксплуатации уязвимость позволяет удаленному злоумышленнику выполнить произвольный код.
Уязвимость обнаружена в версии WECON LeviStudioU 1.10 и более ранних, а также в сборке PI Studio HMI Project Programmer Build: November 11, 2017 и более ранних.
Исследователи уведомили производителя о проблеме. Корректирующие обновления уже доступны. WECON рекомендует пользователям как можно скорее обновить программное обеспечение до актуальной версии.