关键漏洞信息 1. 执行摘要 CVSS v3: 7.8 注意: 低技能级别即可利用 供应商: Delta Electronics 设备: 工业自动化 CNCSoft ScreenEditor 漏洞: 基于堆栈的缓冲区溢出、越界读取、访问未初始化指针 2. 风险评估 成功的利用这些漏洞可能允许攻击者读/修改信息、执行任意代码和/或导致应用崩溃。 3. 技术细节 3.1 受影响的产品 工业自动化 CNCSoft ScreenEditor 版本 1.01.23 及之前的版本受到影响。 3.2 漏洞概览 3.2.1 堆栈缓冲区溢出 CWE-121 通过处理特制项目文件,可能存在多个堆栈溢出漏洞,可能导致任意代码执行、读/修改信息、或导致应用崩溃。此漏洞被赋以 CVE-2020-16199,CVSS v3 基本评分为 7.8。 3.2.2 越界读取 CWE-125 通过处理特制项目文件,可能存在多个越界读取漏洞,可能允许攻击者读取信息。此漏洞被赋以 CVE-2020-16201,CVSS v3 基本评分为 3.3。 3.2.3 访问未初始化指针 CWE-824 通过处理特制项目文件,可能存在访问未初始化指针漏洞,可能导致读/修改信息、执行任意代码、或导致应用崩溃。此漏洞被赋以 CVE-2020-16203,CVSS v3 基本评分为 7.8。 3.3 背景 关键基础设施部门: 批量制造 部署国家/地区: 全球 公司总部地点: 台湾 4. 缓解措施 更新到最新版本的 CNCSoft ScreenEditor Version 1.01.26。 限制应用程序与可信文件之间的交互。