Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Advantech iView

Múltiples vulnerabilidades en Advantech iView

Fecha de publicación: 
15/07/2020
Importancia: 
5 - Crítica
Recursos afectados: 

iView, versiones 5.6 y anteriores.

Descripción: 

Se han publicado múltiples vulnerabilidades, 3 de severidad crítica y 3 altas, que podrían permitir a un atacante leer o modificar información, ejecutar código arbitrario, limitar la disponibilidad del sistema o provocar el cierre inesperado de la aplicación.

Solución: 

Actualizar a la versión 5.7.

Detalle: 
  • Múltiples vulnerabilidades de inyección SQL podrían permitir a un atacante extraer las credenciales del usuario, leer o modificar la información o ejecutar código de forma remota. Se ha asignado el identificador CVE-2020-14497 para esta vulnerabilidad.
  • Vulnerabilidades de salto de ruta (path traversal) podrían permitir a un atacante crear/descargar archivos arbitrarios, limitar la disponibilidad del sistema o ejecutar código de forma remota. Se ha asignado el identificador CVE-2020-14507 para esta vulnerabilidad.
  • La neutralización incorrecta de los elementos especiales podría permitir a un atacante enviar una solicitud HTTP GET o POST que crea una cadena de comandos sin ninguna validación. El atacante podría entonces ejecutar código remotamente. Se ha asignado el identificador CVE-2020-14505 para esta vulnerabilidad. 
  • La validación inadecuada de los datos de entrada podría permitir a un  atacante la ejecución remota de código arbitrario. Se ha asignado el identificador CVE-2020-14503 para esta vulnerabilidad.  
  • La falta de autenticación para una función crítica podría permitir a un atacante obtener la información de la tabla de usuarios, incluidas las credenciales de administrador en texto plano o eliminar la cuenta de administrador. Se ha asignado el identificador CVE-2020-14501 para esta vulnerabilidad.      
  • El control de acceso inadecuado podría permitir a un atacante obtener todas las credenciales de las cuentas de usuario. Se ha asignado el identificador CVE-2020-14499 para esta vulnerabilidad.    

Encuesta valoración