Urządzenie Delta Electronics AS320T zawiera podatność polegającą na nieprawidłowym obliczaniu rozmiaru bufora na stosie w procedurze obsługi żądań GET/PUT usługi web. Błąd sklasyfikowany jako CRITICAL (CVSS 9.8) może zostać wykorzystany zdalnie bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
Delta Electronics AS320T has incorrect calculation of the buffer size on the stack in the GET/PUT request handler of the web service.
Handler żądań GET/PUT wbudowanego serwisu webowego w AS320T nieprawidłowo oblicza rozmiar bufora alokowanego na stosie (CWE-131 — Incorrect Calculation of Buffer Size). Wysłanie odpowiednio spreparowanego żądania HTTP może spowodować przepełnienie bufora na stosie, umożliwiając atakującemu nadpisanie krytycznych struktur kontrolnych programu. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika.
Atakujący może zdalnie przejąć kontrolę nad urządzeniem, potencjalnie uzyskując możliwość wykonania dowolnego kodu (RCE), naruszenia poufności i integralności danych oraz spowodowania niedostępności usługi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn Delta-PCSA-2026-00006 dostępny w Delta File Center. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do interfejsu webowego urządzenia za pomocą firewall lub segmentacji sieci.
Delta Electronics AS320T — wersje wskazane w referencjach producenta (biuletyn Delta-PCSA-2026-00006)
Podatność opisana w zbiorczym biuletynie bezpieczeństwa Delta-PCSA-2026-00006, który obejmuje również CVE-2026-1950, CVE-2026-1951 oraz CVE-2026-1952 dotyczące tego samego urządzenia.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDeltaww As320t
HWDeltawwwszystkie wersjeDeltaww As320t Firmware
OSDeltaww< 1.16
Powiązane podatności
Delta Electronics AS320T — przepełnienie bufora stosu przez nazwę pliku
Delta Electronics AS320T — przepełnienie bufora przez nazwę katalogu (stack-based buffer overflow)
Delta Electronics AS320T — DoS przez nieudokumentowaną subfunkcję
Stack-based Buffer Overflow w Delta Electronics COMMGR2
Delta Electronics DIAView — krytyczne podatności (CVE-2025-62581)