Múltiples vulnerabilidades en iView de Advantech
Fecha de publicación 10/02/2021
Importancia
5 - Crítica
Recursos Afectados
iView, todas las versiones anteriores a la 5.7.03.6112.
Descripción
Los investigadores Anonymous y rgod, junto con ZDI de Trend Micro, y William Vu de Rapid7, han reportado 3 vulnerabilidades de severidad alta y una de severidad crítica que podrían permitir a un atacante remoto revelar información, realizar una escalada de privilegios, leer datos confidenciales y ejecutar código, respectivamente.
Solución
Actualizar iView a la versión 5.7.03.6112.
Detalle
- Debido a una vulnerabilidad de inyección SQL, un atacante no autorizado podría divulgar información o realizar una escalada de privilegios. Se han asignado los identificadores CVE-2021-22654 y CVE-2021-22658 para estas vulnerabilidades de severidad alta, respectivamente.
- Una vulnerabilidad de limitación incorrecta del nombre de la ruta a un directorio restringido (path traversal) podría permitir a un atacante leer datos confidenciales. Se ha asignado el identificador CVE-2021-22656 para esta vulnerabilidad de severidad alta.
- La ausencia de autenticación en la configuración de iView podría permitir a un atacante, no autorizado, cambiar la configuración y ejecutar código. Se ha asignado el identificador CVE-2021-22652 para esta vulnerabilidad de severidad crítica.
Listado de referencias
Etiquetas