Oprogramowanie Delta Electronics COMMGR2 zawiera krytyczną podatność typu stack-based buffer overflow (CWE-787), umożliwiającą zdalne wykonanie kodu bez uwierzytelnienia. Ocena CVSS 9.8 wskazuje na bardzo wysokie ryzyko dla środowisk przemysłowych korzystających z tego produktu.
▸ Pokaż oryginał (EN)
Delta Electronics COMMGR2 has Stack-based Buffer Overflow vulnerability.
Podatność polega na przepełnieniu bufora na stosie (stack-based buffer overflow) w aplikacji COMMGR2. Atakujący może wysłać specjalnie spreparowane dane do podatnego komponentu, powodując nadpisanie obszarów pamięci poza granicami bufora. Może to prowadzić do przejęcia kontroli nad przepływem wykonania programu i uruchomienia dowolnego kodu.
Nieuwierzytelniony, zdalny atakujący może uzyskać pełną kontrolę nad podatnym systemem, w tym możliwość odczytu i modyfikacji danych oraz zakłócenia dostępności usług (RCE). W środowiskach przemysłowych (OT/ICS) może to prowadzić do zakłócenia procesów automatyki.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje zawiera dokument Delta-PCSA-2026-00005 dostępny w centrum plików Delta Electronics (filecenter.deltaww.com).
Delta Electronics COMMGR2 — wersje wskazane w referencjach producenta (dokument Delta-PCSA-2026-00005)
Podatność opisana w biuletynie bezpieczeństwa Delta-PCSA-2026-00005, który obejmuje również powiązane CVE-2026-3631. Oba CVE dotyczą wielu podatności w COMMGR2.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDeltaww Commgr2
APPDeltaww< 2.11.1
Powiązane podatności
Delta Electronics COMMGR2 has Buffer Over-read DoS vulnerability.
Delta Electronics AS320T — przepełnienie bufora przez nazwę katalogu (stack-based buffer overflow)
Delta Electronics AS320T — błędna kalkulacja rozmiaru bufora w handlerze GET/PUT
Delta Electronics AS320T — przepełnienie bufora stosu przez nazwę pliku
Delta Electronics AS320T — DoS przez nieudokumentowaną subfunkcję