Inyección SQL en iView de Advantech
Fecha de publicación 13/06/2024
Importancia
4 - Alta
Recursos Afectados
iView Webserver: múltiples productos afectados, se pueden comprobar en el listado completo proporcionado por el fabricante.
Descripción
Zero Day Initiative ha publicado una vulnerabilidad para iView que ya ha sido corregida por Advantech.
Solución
Actualizar iView Webserver a las siguientes versiones:
- Versión 5.7.04.6425;
- Versión 5.7.04.6429;
- Versión 5.7.04.6583;
- Versión 5.7.04.6752;
- Versión 5.7.04.6872.
Detalle
La vulnerabilidad CVE-2023-52335 existe debido al servletConfigurationServlet que escucha en el puerto 8080 por defecto. El proceso no valida correctamente cuando un usuario proporciona un elemento de tipo texto que se emplea para crear consultas SQL. Un atacante podría explotarlo para poder acceder a credenciales sin autorización y así conseguir comprometer el sistema.
Listado de referencias