Уязвимость позволяет записывать данные за пределами выделенного буфера.
Исследователь безопасности Мэт Пауэлл (Mat Powell) обнаружил опасную уязвимость в программном продукте LAquis SCADA от бразильского производителя LCDS – Leão Consultoria e Desenvolvimento de Sistemas LTDA ME. Проблема затрагивает версию продукта 4.1.0.4150. Во избежание возможных атак пользователям настоятельно рекомендуется обновиться до версии 4.3.1.71.
Уязвимость (CVE-2019-6536) позволяет злоумышленнику с помощью особым образом сконфигурированного ELS-файла записывать данные за пределами выделенного буфера. Это приведет к его переполнению и позволит атакующему выполнить произвольный код в контексте текущего процесса.
По шкале оценивания опасности CVSS v3 уязвимость получила 7,8 балла из максимальных 10. Для ее эксплуатации злоумышленнику достаточно обладать лишь базовыми знаниями. Каких-либо сведений о существующем эксплоите для данной уязвимости к настоящему времени не поступало.
Программное обеспечение для промышленной автоматизации LAquis SCADA используется на предприятиях химической, электроэнергетической, транспортной и пищевой промышленности, а также на водоочистных станциях по большей части в странах Южной Америки.
Источник: https://www.securitylab.ru/news/498368.php
