Критические уязвимости в промышленном ПО LeviStudioU

В промышленном ПО LeviStudioU производства компании Wecon обнаружены критические уязвимости. Успешная эксплуатация этих уязвимостей может позволить удаленному злоумышленнику выполнить произвольный код.

ПО LeviStudioU используется для разработки человеко-машинных интерфейсов (HMI) в энергетике, критическом производстве, а также водоснабжении. Уязвимости затрагивают версии 1.8.29 и 1.8.44.

Обнаруженные проблемы связаны с множественными уязвимостями переполнения буфера в стеке (CVE-2018-10602) и куче (CVE-2018-10606). Их эксплуатации происходит, когда приложение обрабатывает специально созданные файлы проекта.

Указанные проблемы получили оценку 8,8 баллов по шкале CVSS v.3.

Часть из указанных уязвимостей может быть устранена путем обновления ПО до последней версии.

Источник: ICS-CERT