Múltiples vulnerabilidades en WebAccess/SCADA de Advantech
Fecha de publicación 02/06/2023
Importancia
4 - Alta
Recursos Afectados
WebAccess/SCADA versiones 9.1.3 y anteriores
Descripción
YangLiu, del Instituto de Investigación Elex Feigong, ha informado de tres vulnerabilidades de severidad alta, que podrían permitir que un atacante sobrescriba archivos de manera arbitraria, lo que resultaría en la ejecución remota de código.
Solución
Advantech recomienda a los usuarios de WebAccess/SCADA actualizar a v9.1.4.
Detalle
Las vulnerabilidades de severidad alta detectadas pertenecen a los siguientes tipos:
- Control inadecuado de generación de código. Esto podría permitir a un atacante sobrescribir cualquier archivo en el sistema operativo (incluidos los archivos del sistema), inyectar código en un archivo XLS y modificar la extensión del archivo, lo que podría conducir a la ejecución de código arbitrario. Se ha asignado el identificador CVE-2023-32540 para esta vulnerabilidad.
- Carga sin restricciones de archivo de tipo peligroso. Esto podría permitir que un atacante cargue un archivo de secuencia de comandos ASP en un servidor web cuando inicia sesión como usuario administrador, lo que puede conducir a la ejecución de código arbitrario. Se han asignado los identificadores CVE-2023-22450 y CVE-2023-32628 para estas vulnerabilidades.
Listado de referencias
