CVE-2024-24957

Nome do software vulnerável e versões afetadas:

AutomationDirect P3-550E versão 1.2.10.9

Descrição:

O problema está relacionado a vulnerabilidades de gravação fora dos limites na funcionalidade da API do Sistema de Arquivos de Conexão do Software de Programação. Pacotes de rede especialmente criados podem levar à corrupção de memória baseada em heap. Um invasor pode enviar pacotes maliciosos para acionar essas vulnerabilidades, causando potencialmente uma negação de serviço. A vulnerabilidade de gravação arbitrária de bytes nulos está localizada no deslocamento 0xb6aa4.

Recomendações:

Para o AutomationDirect P3-550E versão 1.2.10.9, considere restringir o acesso à funcionalidade da API do Sistema de Arquivos até que um patch esteja disponível. Como solução alternativa temporária, evite usar o endpoint da API vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.