Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Advantech

Fecha de publicación 13/12/2019
Importancia
5 - Crítica
Recursos Afectados
  • DiagAnywhere Server, versiones 3.07.11 y anteriores;
  • WebAccess, todas las versiones.
Descripción

Se han reportado múltiples vulnerabilidades de tipo desbordamiento de búfer basado en pila que podría permitir a un atacante la ejecución remota de código.

Solución
  • DiagAnywhere Server: actualizar a la versión 3.07.14.
  • WebAccess: por el momento no han publicado actualización.
Detalle
  • Múltiples vulnerabilidades de tipo desbordamiento de búfer basado en pila, presentes en el servicio de transferencia de archivos y escuchando en el puerto TCP, podrían permitir a un atacante remoto, no autenticado, la ejecución de código arbitrario con los mismos privilegios que la víctima. Se ha asignado el identificador CVE-2019-18257 para esta vulnerabilidad.
  • El ejecutable BwOpcBs.exe de WebAccess, accedido a través de 0x2711 IOCTL en el servicio webvrpcs, presenta una falta de validación de la longitud de la entrada del usuario antes de ser copiada a un búfer de tamaño fijo. Esto podría permitir a un atacante ejecutar código con permisos de administrador.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-19-346-01) Advantech DiagAnywhere Server
(0Day) Advantech WebAccess Node BwOpcBs Stack-based Buffer Overflow Remote Code Execution Vulnerability
Etiquetas