Inicio / Alerta Temprana / Avisos Sci / Diferentes vulnerabilidades en Advantech WebAccess

Diferentes vulnerabilidades en Advantech WebAccess

Fecha de publicación: 
09/04/2014
Importancia: 
4 - Alta
Recursos afectados: 

Los productos afectados por estas vulnerabilidades son:

  • Advantech WebAccess versión 7.1 y anteriores.
Descripción: 

Se han identificado diferentes vulnerabilidades en la aplicación Advantech WebAccess que permitirían a un atacante la ejecución de código arbitrario o la visualización de ficheros almacenados en la aplicación.

Solución: 

Advantech ha publicado la versión 7.2 de este producto que corrige estas vulnerabilidades. Esta versión puede descargarse de http://webaccess.advantech.com/downloads.php?item=software

Detalle: 

Varios investigadores han publicado a través de Zero Day Initiative (ZDI) diferentes vulnerabilidades en la aplicación Advantech WebAccess.

Estas vulnerabilidades pueden explotarse de forma remota por un atacante, permitiendo la ejecución de código arbitrario, así como la divulgación de información, o la ejecución de comandos en el sistema.

En concreto se han encontrado 6 desbordamientos de pila con una criticidad asignada de CVSS v2 de 7,5 y cuyos CVE asignados son: CVE-2014-0764, CVE-2014-0765, CVE-2014-0766, CVE-2014-0767, CVE-2014-0768 y CVE-2014-0770

También se han publicado dos vulnerabilidades de divulgación de información con una criticidad CVSS v2 de 5 y con los CVE; CVE-2014-0771 y CVE-2014-0772. Una vulnerabilidad de inyección de código SQL con criticidad de 7,5 y CVE-2014-0763. Y una vulnerabilidad de inyección de comandos del sistema también con una asignación de criticidad de 7,5 y el CVE-2014-0773.