CRITICAL🇬🇧 English

CVE-2026-1951

Delta Electronics AS320T — przepełnienie bufora przez nazwę katalogu (stack-based buffer overflow)

CVSS 9.8v3.1pub. 2026-04-24upd. 2026-05-11

Urządzenie Delta Electronics AS320T nie weryfikuje długości bufora przy przetwarzaniu nazwy katalogu, co prowadzi do podatności klasy stack-based buffer overflow (CWE-121). Luka otrzymała ocenę CVSS 9.8 (CRITICAL), co oznacza możliwość jej zdalnego wykorzystania bez uwierzytelnienia.

Pokaż oryginał (EN)

Delta Electronics AS320T has no checking of the length of the buffer with the directory name vulnerability.

🤖 Analiza AI
Jak działa

Podatność polega na braku sprawdzania długości danych wejściowych przekazywanych jako nazwa katalogu do funkcji kopiującej dane do bufora na stosie. Atakujący może dostarczyć celowo spreparowaną, nadmiernie długą nazwę katalogu, powodując przepełnienie bufora na stosie (stack-based buffer overflow). Przepełnienie stosu może umożliwić nadpisanie adresu powrotu lub innych krytycznych struktur kontrolnych programu, prowadząc do przejęcia kontroli nad wykonaniem kodu.

Skutki

Atakujący zdalny, nieuwierzytelniony może uzyskać pełną kontrolę nad urządzeniem — w tym wykonać dowolny kod (RCE), naruszyć poufność i integralność danych oraz spowodować niedostępność systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Delta Electronics Delta-PCSA-2026-00006 dostępny w centrum plików producenta

Kogo dotyczy

Delta Electronics AS320T — konkretne wersje firmware wskazane w referencjach producenta (biuletyn Delta-PCSA-2026-00006)

Uwagi

Podatność jest częścią grupy czterech luk w urządzeniu AS320T opisanych wspólnie w biuletynie Delta-PCSA-2026-00006 (CVE-2026-1949, CVE-2026-1950, CVE-2026-1951, CVE-2026-1952).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Deltaww As320t

    HW
    Deltaww
    wszystkie wersje
  • Deltaww As320t Firmware

    OS
    Deltaww
    < 1.12
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-1949CRITICAL9.8PL ✓ten sam produkt

Delta Electronics AS320T — błędna kalkulacja rozmiaru bufora w handlerze GET/PUT

CVE-2026-1950CRITICAL9.8PL ✓ten sam produkt

Delta Electronics AS320T — przepełnienie bufora stosu przez nazwę pliku

CVE-2026-1952CRITICAL9.8PL ✓ten sam produkt

Delta Electronics AS320T — DoS przez nieudokumentowaną subfunkcję

CVE-2026-3630CRITICAL9.8PL ✓ten sam vendor

Stack-based Buffer Overflow w Delta Electronics COMMGR2

CVE-2025-62581CRITICAL9.8PL ✓ten sam vendor

Delta Electronics DIAView — krytyczne podatności (CVE-2025-62581)