Desbordamiento de pila en WebOP de Advantech

Fecha de publicación:

16/08/2017

Importancia:

3 - Media

Recursos afectados:

Todas las versiones de los paneles de operador de Advantech WebOP están afectadas.

Descripción:

Ariele Caltabiano (kimiya), trabajando con Trend Micro's Zero Day Initiative, ha descubierto una vulnerabilidad en WebOP de Advantech cuya explotación exitosa puede provocar que el dispositivo de destino se bloquee e incluso lograr la ejecución de código arbitrario.

En nivel de habilidad necesario para explotar esta vulnerabilidad es bajo. Existen exploit públicos disponibles.

Solución:

Por el momento no existe una solución a la vulnerabilidad. Se aconseja limitar el uso de la aplicación a ficheros confiables.

Detalle:

Un archivo de proyecto especialmente diseñado maliciosamente puede ser capaz de desencadenar un desbordamiento de búfer basado en heap, que puede bloquear el proceso y permitir a un atacante ejecutar código arbitrario.

Referencias:

Advantech WebOP (ICSA-17-227-01)

Etiquetas:

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Desbordamiento de pila en WebOP de Advantech

Múltiples vulnerabilidades en router Robustel R1510

Múltiples vulnerabilidades en Distributed Data Systems WebHMI

Autenticación incorrecta en Exemys RME1

Múltiples vulnerabilidades en Advantech iView

Múltiples vulnerabilidades en Elcomplus SmartICS