Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Puntero no confiable en WebAccess/SCADA de Advantech

Fecha de publicación 16/06/2023
Identificador

INCIBE-2023-0227

Importancia
5 - Crítica
Recursos Afectados

WebAccess/SCADA: todas las versiones anteriores a la 9.1.4.

Descripción

Florent Saudel ha informado que la vulnerabilidad de severidad crítica detectada podría permitir que un atacante obtenga acceso remoto al sistema de archivos y logre la ejecución remota de comandos.

Solución

Advantech recomienda a todos los usuarios afectados que actualicen sus productos al último parche. Esta vulnerabilidad se corrigió en la versión 9.1.4.

Detalle

La vulnerabilidad afecta al uso de punteros que no son de confianza. Los argumentos RPC que el cliente envía podrían contener punteros de memoria sin procesar. Esto podría permitir que un atacante obtenga acceso al sistema de archivos remoto y la capacidad de ejecutar comandos y sobrescribir archivos.

Se ha asignado el identificador CVE-2023-1437 para esta vulnerabilidad.