В оборудовании Fuji Electric FRENIC и Fuji Electric Alpha5 Smart Loader выявлен ряд уязвимостей, совместная эксплуатация которых предоставляет возможность удаленно выполнить код и получить доступ к важной информации.

Устройства Fuji Electric FRENIC подвержены трем уязвимостям (CVE-2018-14790, CVE-2018-14802 и CVE-2018-14798) со степенью опасности от 5.3 до 9.8 баллов по шкале CVSS v3. Первая проблема представляет собой уязвимость чтения за пределами выделенного буфера, вторая существует из-за некорректной проверки пользовательских комментариев. Обе предоставляют возможность удаленного выполения кода. CVE-2018-14798 связана с некорректным парсингом FNC файлов, что может привести к раскрытию важной информации. Уязвимости затрагивают следующие продукты: FRENIC-Mini (C1), FRENIC-Mini (C2), FRENIC-Eco, FRENIC-Multi, FRENIC-MEGA, FRENIC-Ace, использующие ПО FRENIC LOADER v3.3 и v7.3.4.1a.

Решение Fuji Electric Alpha5 Smart Loader содержит две уязвимости — CVE-2018-14788 (классическое переполнение буфера) и CVE-2018-14794 (переполнение буфера в куче). Оба бага могут использоваться для удаленного выполнения кода. Уязвимостям подвержены версии Alpha5 Smart Loader 3.7 и более ранние.

В настоящее время производитель готовит обновления, устраняющее вышеперечисленные проблемы.

Источник: securitylab.ru