Las vulnerabilidades detectadas, catalogadas con nivel de importancia medio, podrían permitir a un atacante sobreescribir archivos y copiarlos de un lugar a otro dentro del dispositivo afectado.
Recursos afectados
- KingView 6.53 y anteriores
Detalle e Impacto de las vulnerabilidades detectadas
- CVE-2013-6127.- El control ActiveX SuperGrid.ocx permite al atacante recorrer directorios fuera del path restringido, debido a que no se valida correctamente la entrada de datos del usuario. Esto puede ser utilizado para copiar archivos de un lugar a otro o incluso sobreescribir archivos, lo que podría derivar en la inyección de archivos para ejecución de código arbitrario.
- CVE-2013-6128.- El control ActiveX KChartXY.ocx permite recorrer directorios fuera del path restringido. Esto permitiría sobreescribir el archivo win.ini
- Ambas vulnerabilidades pueden ser explotadas remotamente.
Recomendación
Descargar las siguientes actualizaciones para los archivos afectados:
- SuperGrid.ocx 65.30.30000.10002
- KChartXY.ocx 65.30.30000.10002
Más información
WellinTech KingView ActiveX Vulnerabilities http://ics-cert.us-cert.gov/advisories/ICSA-13-295-01
Fuente: Inteco