Inyección SQL en iView de Advantech

Fecha de publicación 13/06/2024
Importancia
4 - Alta
Recursos Afectados

iView Webserver: múltiples productos afectados, se pueden comprobar en el listado completo proporcionado por el fabricante.

Descripción

Zero Day Initiative ha publicado una vulnerabilidad para iView que ya ha sido corregida por Advantech.

Solución

Actualizar iView Webserver a las siguientes versiones:

  • Versión 5.7.04.6425;
  • Versión 5.7.04.6429;
  • Versión 5.7.04.6583;
  • Versión 5.7.04.6752;
  • Versión 5.7.04.6872.
Detalle

La vulnerabilidad CVE-2023-52335 existe debido al servletConfigurationServlet que escucha en el puerto 8080 por defecto. El proceso no valida correctamente cuando un usuario proporciona un elemento de tipo texto que se emplea para crear consultas SQL. Un atacante podría explotarlo para poder acceder a credenciales sin autorización y así conseguir comprometer el sistema.