PT-2022-2805 · Hid · Hid Mercury Intelligent Controllers
Publicado
2022-05-23
·
Atualizado
2022-06-17
·
CVE-2022-31481
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Controladores inteligentes HID Mercury LP1501, LP1502, LP2500, LP4502 e EP4502, versões anteriores à 1.302 para a série LP e à 1.296 para a série EP
Descrição
O problema está relacionado a uma vulnerabilidade de estouro de buffer devido à falta de validação do tamanho da entrada. Um invasor não autenticado pode explorar essa vulnerabilidade enviando um arquivo de atualização especialmente criado, o que lhe permite executar código arbitrário. Isso pode permitir que o invasor monitore comunicações, modifique relés integrados, altere arquivos de configuração ou cause instabilidade no dispositivo.
Recomendações
Para os controladores inteligentes HID Mercury LP1501, LP1502, LP2500, LP4502 e EP4502 com versões anteriores à 1.302 para a série LP e 1.296 para a série EP, atualize o firmware para uma versão 1.302 ou posterior para a série LP e 1.296 ou posterior para a série EP a fim de resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao mecanismo de atualização para impedir que arquivos de atualização especialmente criados sejam enviados ao dispositivo.
Correção
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Hid Mercury Intelligent Controllers