漏洞关键信息 漏洞描述 - 名称: Delta Industrial Automation CNCSoft ScreenEditor DPB Parsing Out-Of-Bounds Read Information Disclosure Vulnerability - 标识: - ZDI-19-414 - ZDI-CAN-7960 - CVE ID: CVE-2019-10949 严重性 - CVSS Score: 3.3 - 矢量: 影响 - 受影响供应商: Delta Electronics - 受影响产品: CNCSoft ScreenEditor 漏洞细节 - 此漏洞允许远程攻击者在易受攻击的 Delta Industrial Automation CNCSoft ScreenEditor 安装中披露敏感信息。需要用户交互来利用此漏洞,即目标必须访问恶意页面或打开恶意文件。 - 具体缺陷存在于解析 DPB 文件时,由于对用户提供的数据缺乏适当的验证,可能导致读取超过分配缓冲区的末尾。攻击者可以利用这一点,并结合其他漏洞,在管理员上下文中执行代码。 额外细节 - Delta Electronics 已发布更新以修正此漏洞。更多详细信息请参阅: https://ics-cert.us-cert.gov/advisories/ICSA-19-106-01 披露时间表 - 2019-02-21: 漏洞报告给供应商 - 2019-04-17: 协调公开发布咨询 - 2024-01-19: 咨询更新 贡献者 - GDPR