Múltiples vulnerabilidades en varios productos de Advantech

Fecha de publicación 16/10/2020

Importancia

4 - Alta

Recursos Afectados

WebAccess/SCADA, versiones 9.0 y anteriores;
R-SeeNet, versiones desde 1.5.1 hasta 2.4.10.

Descripción

Los investigadores Sivathmican Sivakumaran de ZDI de Trend Micro, y el conocido como rgod, en colaboración con ZDI de Trend Micro, han reportado 2 vulnerabilidades, ambas con severidad alta, de tipo control externo de nombre de archivo o ruta e inyección SQL.

Solución

Actualizar WebAccess/SCADA a la versión 9.0.1 o posteriores;
actualizar R-SeeNet a la versión 2.4.11 o posteriores.

Detalle

El componente WADashboard de WebAccess/SCADA podría permitir a un atacante controlar o influir en una ruta utilizada en una operación en el sistema de archivos, otorgándole la posibilidad de ejecutar código de forma remota como administrador. Se ha asignado el identificador CVE-2020-25161 para esta vulnerabilidad.
La página web de R-SeeNet es vulnerable a una inyección SQL, que podría permitir a un atacante remoto invocar consultas en la base de datos y obtener información confidencial. Se ha asignado el identificador CVE-2020-25157 para esta vulnerabilidad.

Listado de referencias

ICS Advisory (ICSA-20-289-01) Advantech WebAccess/SCADA

ICS Advisory (ICSA-20-289-02) Advantech R-SeeNet

Etiquetas