LeviStudio es un software utilizado en diversos sectores empresariales, tales como industria química, manufacturación y energía. Además de estos productos, WECON incorpora un alto catálogo de controladores lógicos programables y otros dispositivos electrónicos ampliamente utilizados en el sector industrial.

En todos los problemas reportados, debido a múltiples errores en el manejo de determinados ficheros, un atacante remoto podría provocar, como mínimo, denegaciones de servicio a través de archivos especialmente manipulados.

En el primer problema, con CVE-2016-4533, el error podría causar un desbordamiento de memoria basado en heap, lo cual podría derivar finalmente en la ejecución de código arbitrario dentro del sistema.

El siguiente problema, con CVE-2016-5781, podría permitir a un  atacante provocar un desbordamiento de memoria intermedia basada en pila, por lo que finalmente podría incluso ejecutar código arbitrario dentro del sistema.

Las vulnerabilidades, que afectan a todas las versiones de LeviStudio, han sido reportadas por los investigadores independientes, Rocco Calvi y Brian Gorenc en colaboración con Trend Micro’s Zero Day Initiative.

Desde WECON no se ha especificado cuando se va a publicar una solución oficial, por lo que se recomienda que actualicen a versiones superiores y se tomen las siguientes medidas de seguridad:

WECON LeviStudio

Juan Sánchez