Urządzenie Delta Electronics AS320T zawiera podatność typu stack-based buffer overflow (CWE-121) wynikającą z braku weryfikacji długości bufora przy przetwarzaniu nazwy pliku. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co wskazuje na możliwość jej zdalnego wykorzystania bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
Delta Electronics AS320T has No checking of the length of the buffer with the file name vulnerability.
Atakujący wysyła do urządzenia AS320T spreparowaną nazwę pliku o nadmiernej długości. Aplikacja nie sprawdza, czy dane mieszczą się w przeznaczonym buforze na stosie, co powoduje jego przepełnienie (stack-based buffer overflow). Nadpisanie obszarów pamięci stosu może umożliwić przejęcie kontroli nad przepływem wykonania programu i uruchomienie dowolnego kodu.
Atakujący może zdalnie wykonać dowolny kod na urządzeniu bez konieczności posiadania danych uwierzytelniających, co może prowadzić do pełnego przejęcia kontroli nad systemem oraz utraty poufności, integralności i dostępności danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Delta Electronics PCSA-2026-00006 dostępny pod adresem wskazanym w sekcji referencji CVE
Delta Electronics AS320T — konkretne wersje firmware wskazane w referencjach producenta (biuletyn Delta-PCSA-2026-00006)
Podatność jest jedną z czterech opisanych w biuletynie Delta-PCSA-2026-00006 dotyczącym urządzenia AS320T (CVE-2026-1949, CVE-2026-1950, CVE-2026-1951, CVE-2026-1952). Szczegółowe informacje o wersjach i poprawkach należy zaczerpnąć bezpośrednio z dokumentu producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDeltaww As320t
HWDeltawwwszystkie wersjeDeltaww As320t Firmware
OSDeltaww< 1.16
Powiązane podatności
Delta Electronics AS320T — błędna kalkulacja rozmiaru bufora w handlerze GET/PUT
Delta Electronics AS320T — przepełnienie bufora przez nazwę katalogu (stack-based buffer overflow)
Delta Electronics AS320T — DoS przez nieudokumentowaną subfunkcję
Stack-based Buffer Overflow w Delta Electronics COMMGR2
Delta Electronics DIAView — krytyczne podatności (CVE-2025-62581)