Múltiples vulnerabilidades en productos de Advantech
Fecha de publicación
13/12/2019
Importancia
5 - Crítica
Recursos Afectados
- DiagAnywhere Server, versiones 3.07.11 y anteriores;
- WebAccess, todas las versiones.
Descripción
Se han reportado múltiples vulnerabilidades de tipo desbordamiento de búfer basado en pila que podría permitir a un atacante la ejecución remota de código.
Solución
- DiagAnywhere Server: actualizar a la versión 3.07.14.
- WebAccess: por el momento no han publicado actualización.
Detalle
- Múltiples vulnerabilidades de tipo desbordamiento de búfer basado en pila, presentes en el servicio de transferencia de archivos y escuchando en el puerto TCP, podrían permitir a un atacante remoto, no autenticado, la ejecución de código arbitrario con los mismos privilegios que la víctima. Se ha asignado el identificador CVE-2019-18257 para esta vulnerabilidad.
- El ejecutable BwOpcBs.exe de WebAccess, accedido a través de 0x2711 IOCTL en el servicio webvrpcs, presenta una falta de validación de la longitud de la entrada del usuario antes de ser copiada a un búfer de tamaño fijo. Esto podría permitir a un atacante ejecutar código con permisos de administrador.
Listado de referencias
Etiquetas