Urządzenie Delta Electronics AS320T nie weryfikuje długości bufora przy przetwarzaniu nazwy katalogu, co prowadzi do podatności klasy stack-based buffer overflow (CWE-121). Luka otrzymała ocenę CVSS 9.8 (CRITICAL), co oznacza możliwość jej zdalnego wykorzystania bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
Delta Electronics AS320T has no checking of the length of the buffer with the directory name vulnerability.
Podatność polega na braku sprawdzania długości danych wejściowych przekazywanych jako nazwa katalogu do funkcji kopiującej dane do bufora na stosie. Atakujący może dostarczyć celowo spreparowaną, nadmiernie długą nazwę katalogu, powodując przepełnienie bufora na stosie (stack-based buffer overflow). Przepełnienie stosu może umożliwić nadpisanie adresu powrotu lub innych krytycznych struktur kontrolnych programu, prowadząc do przejęcia kontroli nad wykonaniem kodu.
Atakujący zdalny, nieuwierzytelniony może uzyskać pełną kontrolę nad urządzeniem — w tym wykonać dowolny kod (RCE), naruszyć poufność i integralność danych oraz spowodować niedostępność systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Delta Electronics Delta-PCSA-2026-00006 dostępny w centrum plików producenta
Delta Electronics AS320T — konkretne wersje firmware wskazane w referencjach producenta (biuletyn Delta-PCSA-2026-00006)
Podatność jest częścią grupy czterech luk w urządzeniu AS320T opisanych wspólnie w biuletynie Delta-PCSA-2026-00006 (CVE-2026-1949, CVE-2026-1950, CVE-2026-1951, CVE-2026-1952).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDeltaww As320t
HWDeltawwwszystkie wersjeDeltaww As320t Firmware
OSDeltaww< 1.12
Powiązane podatności
Delta Electronics AS320T — błędna kalkulacja rozmiaru bufora w handlerze GET/PUT
Delta Electronics AS320T — przepełnienie bufora stosu przez nazwę pliku
Delta Electronics AS320T — DoS przez nieudokumentowaną subfunkcję
Stack-based Buffer Overflow w Delta Electronics COMMGR2
Delta Electronics DIAView — krytyczne podatności (CVE-2025-62581)