CVE-2024-24954

Nome do software vulnerável e versões afetadas:

AutomationDirect P3-550E versão 1.2.10.9

Descrição:

Existem várias vulnerabilidades de gravação fora dos limites na funcionalidade da API do Sistema de Arquivos de Conexão do Software de Programação. Pacotes de rede especialmente criados podem levar à corrupção de memória baseada em heap. Um invasor pode enviar pacotes maliciosos para acionar essas vulnerabilidades, permitindo potencialmente que um invasor remoto cause uma negação de serviço. A vulnerabilidade de gravação arbitrária de bytes nulos está localizada no deslocamento 0xb69c8.

Recomendações:

Para o AutomationDirect P3-550E versão 1.2.10.9, como solução temporária, considere restringir o acesso à funcionalidade da API do Sistema de Arquivos de Conexão do Software de Programação até que um patch esteja disponível. Evite usar o endpoint da API vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.