Múltiples vulnerabilidades en WebAccess de Advantech

Fecha de publicación 28/06/2019
Importancia
5 - Crítica
Recursos Afectados
  • WebAccess/SCADA versiones 8.3.5 y anteriores.
Descripción

Se han publicado múltiples vulnerabilidades en SCADA WebAccess del tipo salto entre directorios, desbordamiento de búfer, lectura fuera de los límites, escritura fuera de límites y desreferencia de puntero no confiable, que podrían permitir la divulgación de información confidencial, el borrado de archivos y la ejecución de código remoto.

Solución

Actualizar WebAccess a la versión 8.4.1

Detalle
  • Una vulnerabilidad de salto entre directorios, causada por una falta de validación en una ruta introducida por el usuario antes de ser aplicada a la operación de los archivos, podría permitir a un atacante borrar archivos con permisos de administrador. Se ha asignado el identificador CVE-2019-10985 para esta vulnerabilidad.
  • Múltiples vulnerabilidades de tipo desbordamiento de búfer de pila, causados por la falta de validación en la longitud de los datos introducidos por el usuario, podrían permitir a un atacante la ejecución de código remoto. Se ha asignado el identificador CVE-2019-10991 para esta vulnerabilidad.
  • Múltiples vulnerabilidades de tipo desbordamiento de búfer en memoria dinámica, causados por la falta de validación en la longitud de los datos introducidos por el usuario, podrían permitir a un atacante la ejecución de código remoto. Se ha asignado el identificador CVE-2019-10989 para esta vulnerabilidad.
  • Una falta de validación de los datos introducidos por el usuario podría permitir a un atacante la revelación de información. Se ha asignado el identificador CVE-2019-10983 para esta vulnerabilidad.
  • Una falta de validación de la longitud de los datos introducidos por el usuario podría permitir la ejecución de código remoto. Se ha asignado el identificador CVE-2019-10987 para esta vulnerabilidad.
  • Una vulnerabilidad de Desreferencia de puntero no confiable podría permitir a un atacante remoto la ejecución de código arbitrario. Se ha asignado el identificador CVE-2019-10993 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-19-178-05) Advantech WebAccess/SCADA
Etiquetas