Múltiples vulnerabilidades en WebAccess/SCADA de Advantech
Fecha de publicación 24/01/2018
Importancia
3 - Media
Recursos Afectados
- Advantech WebAccess/SCADA en versiones anteriores a la V8.2_20170817.
Descripción
El investigador rgod junto con Trend Micro’s Zero Day Initiative reportaron al ICS-CERT dos vulnerabilidades que podrían permitir la fuga de información sin necesidad de estar autenticado en el sistema.
Solución
Advantech ha puesto disponible la versión WebAccess/SCADA v 8.3.0, que resuelve las vulnerabilidades descubiertas. Esta nueva versión puede obtenerse en:
Detalle
Las vulnerabilidades descubiertas son:
- Path trasversal, un atacante podría acceder con permisos de lectura a ficheros dentro de la estructura de directorios del dispositivo objetivo debido a una manipulación inapropiada los nombres de ruta. Esta vulnerabilidad ha recibido el identificador CVE-2018-5445.
- Inyección SQL, WebAccess/SCADA no valida correctamente las sentencias de entrada SQL. Esta vulnerabilidad ha recibido el identificador CVE-2018-5443.
Listado de referencias
Etiquetas