CRITICAL🇬🇧 English

CVE-2026-1949

Delta Electronics AS320T — błędna kalkulacja rozmiaru bufora w handlerze GET/PUT

CVSS 9.8v3.1pub. 2026-04-24upd. 2026-05-11

Urządzenie Delta Electronics AS320T zawiera podatność polegającą na nieprawidłowym obliczaniu rozmiaru bufora na stosie w procedurze obsługi żądań GET/PUT usługi web. Błąd sklasyfikowany jako CRITICAL (CVSS 9.8) może zostać wykorzystany zdalnie bez uwierzytelnienia.

Pokaż oryginał (EN)

Delta Electronics AS320T has incorrect calculation of the buffer size on the stack in the GET/PUT request handler of the web service.

🤖 Analiza AI
Jak działa

Handler żądań GET/PUT wbudowanego serwisu webowego w AS320T nieprawidłowo oblicza rozmiar bufora alokowanego na stosie (CWE-131 — Incorrect Calculation of Buffer Size). Wysłanie odpowiednio spreparowanego żądania HTTP może spowodować przepełnienie bufora na stosie, umożliwiając atakującemu nadpisanie krytycznych struktur kontrolnych programu. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika.

Skutki

Atakujący może zdalnie przejąć kontrolę nad urządzeniem, potencjalnie uzyskując możliwość wykonania dowolnego kodu (RCE), naruszenia poufności i integralności danych oraz spowodowania niedostępności usługi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn Delta-PCSA-2026-00006 dostępny w Delta File Center. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do interfejsu webowego urządzenia za pomocą firewall lub segmentacji sieci.

Kogo dotyczy

Delta Electronics AS320T — wersje wskazane w referencjach producenta (biuletyn Delta-PCSA-2026-00006)

Uwagi

Podatność opisana w zbiorczym biuletynie bezpieczeństwa Delta-PCSA-2026-00006, który obejmuje również CVE-2026-1950, CVE-2026-1951 oraz CVE-2026-1952 dotyczące tego samego urządzenia.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Deltaww As320t

    HW
    Deltaww
    wszystkie wersje
  • Deltaww As320t Firmware

    OS
    Deltaww
    < 1.16
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-1950CRITICAL9.8PL ✓ten sam produkt

Delta Electronics AS320T — przepełnienie bufora stosu przez nazwę pliku

CVE-2026-1951CRITICAL9.8PL ✓ten sam produkt

Delta Electronics AS320T — przepełnienie bufora przez nazwę katalogu (stack-based buffer overflow)

CVE-2026-1952CRITICAL9.8PL ✓ten sam produkt

Delta Electronics AS320T — DoS przez nieudokumentowaną subfunkcję

CVE-2026-3630CRITICAL9.8PL ✓ten sam vendor

Stack-based Buffer Overflow w Delta Electronics COMMGR2

CVE-2025-62581CRITICAL9.8PL ✓ten sam vendor

Delta Electronics DIAView — krytyczne podatności (CVE-2025-62581)