Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en WebAccess de Advantech

Múltiples vulnerabilidades en WebAccess de Advantech

Fecha de publicación: 
16/05/2018
Importancia: 
5 - Crítica
Recursos afectados: 
  • WebAccess versión 8.2_20170817 y anteriores
  • WebAccess versión 8.3.0 y anteriores
  • WebAccess Dashboard versión 2.0.15 y anteriores
  • WebAccess Scada Node versiones anteriores a 8.3.1
  • WebAccess/NMS versión 2.0.3 y anteriores
Descripción: 

Varios investigadores trabajando con Trend Micro’s Zero Day Initiative han reportado una serie de vulnerabilidades cuya explotación podría permitir a un atacante divulgar información sensible del host y/o destino, ejecutar código arbitrario o eliminar archivos.

Solución: 

Advantech ha publicado un parche que soluciona esta vulnerabilidad, disponible en http://support.advantech.com/support/DownloadSRDetail_New.aspx?SR_ID=1-MS9MJV&Doc_Source=Download

Detalle: 

Las vulnerabilidades identificadas de severidad crítica son:

  • Autorización incorrecta: Una aplicación TFTP tiene cargas de archivos sin restricciones a la aplicación web sin autorización, lo cual puede permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2018-7505 para esta vulnerabilidad.
  • Gestión incorrecta de rutas de ficheros: Se ha identificado una vulnerabilidad de gestión incorrecta de rutas de ficheros, la cual puede permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2018-10589 para esta vulnerabilidad.
  • Desbordamiento de búfer: Se han identificado varias vulnerabilidades de desbordamiento de búfer basadas en pila, que permiten a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2018-7499 para esta vulnerabilidad.
  • Desbordamiento de búfer: Se han identificado varias vulnerabilidades de desbordamiento de búfer basadas en pila, que permiten a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2018-8845 para esta vulnerabilidad.
  • Puntero no confiable desreferenciado: Se han identificado varias vulnerabilidades de punteros no confiables desreferenciados, lo cual puede permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2018-7497 para esta vulnerabilidad.

Los códigos reservados para el resto de vulnerabilidades de severidad alta y media son: CVE-2018-10590, CVE-2018-7503, CVE-2018-7495, CVE-2018-884, CVE-2018-7501 y CVE-2018-10591

Encuesta valoración