CVE-2018-18989

Опубликовано: 04 дек. 2018

Источник: nvd

CVSS3: 7.8

CVSS2: 6.8

EPSS Низкий

Описание

In CX-One Versions 4.42 and prior (CX-Programmer Versions 9.66 and prior and CX-Server Versions 5.0.23 and prior), when processing project files, the application fails to check if it is referencing freed memory. An attacker could use a specially crafted project file to exploit and execute code under the privileges of the application.

Ссылки

http://www.securityfocus.com/bid/106106
Third Party Advisory
VDB Entry
https://ics-cert.us-cert.gov/advisories/ICSA-18-338-01
Third Party Advisory
US Government Resource
http://www.securityfocus.com/bid/106106
Third Party Advisory
VDB Entry
https://ics-cert.us-cert.gov/advisories/ICSA-18-338-01
Third Party Advisory
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:omron:cx-one:*:*:*:*:*:*:*:*

Версия до 4.42 (включая)

cpe:2.3:a:omron:cx-programmer:*:*:*:*:*:*:*:*

Версия до 9.66 (включая)

cpe:2.3:a:omron:cx-server:*:*:*:*:*:*:*:*

Версия до 5.0.23 (включая)

EPSS

Процентиль: 41%

0.00193

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-416

Связанные уязвимости

GHSA-6mv5-3jxx-rprv

CVSS3: 7.8

github

больше 3 лет назад

BDU:2018-01619

CVSS3: 5.8

fstec

около 7 лет назад

Уязвимость среды разработки Omron CX-Programmer, связанная с использованием памяти после ее освобождения, позволяющая нарушителю выполнить произвольный код