Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ejecución remota de código en Advantech WebAccess/HMI Designer

Fecha de publicación 22/04/2021
Importancia
4 - Alta
Recursos Afectados

WebAccess/HMI Designer.

Descripción

kimiya, investigador de 9SG Security Team, ha reportado una vulnerabilidad 0day, con severidad alta, detectada en WebAccess/HMI Designer de Advantech.

Solución

Esta vulnerabilidad se ha divulgando públicamente sin un parche, de acuerdo con el plazo de publicación de ZDI. La única estrategia de mitigación efectiva es restringir la interacción con la aplicación.

Detalle

La vulnerabilidad se produce en el parseo de los archivos SNF, concretamente debido a la validación incorrecta de los datos suministrados por el usuario, lo que podría corromper la memoria, posibilitando que un atacante remoto ejecutase código arbitrario en las instalaciones afectadas de Advantech WebAccess/HMI Designer.

Encuesta valoración