Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Advantech WebAccess

Múltiples vulnerabilidades en Advantech WebAccess

Fecha de publicación: 
18/07/2014
Importancia: 
4 - Alta
Recursos afectados: 

Advantech WebAcess v7.1 y anteriores.

Descripción: 

Zero Day Initiative ha reportado varias vulnerabilidades en la aplicación Advantech WebAccess. Estas vulnerabilidades son explotables remotamente y podrían aprovecharse para sortear la autenticación del sistema o causar una denegación de servicio.

Solución: 

Advantech ha puesto disponible la versión WebAccess Installation Package v7.2, que resuelve las vulnerabilidades mencionadas. Esta nueva versión puede obtenerse en http://webaccess.advantech.com/.

Detalle: 

Se podría provocar un buffer overflow, proporcionando cadenas de texto excesivamente largas en los ficheros ActiveX webvact.ocx, dvs.ocx y webdact.ocx. Esta vulnerabilidad ha recibido el identificador CVE-2014-2364.

El control ActiveX bwocxrun podría permitir acceso a ficheros locales a través del método Browse Folder. Esta vulnerabilidad ha recibido el identificador CVE-2014-2368.

La subrutina ChkCookie podría permitir acceso a ficheros locales si determinados usuarios están activos. Esta vulnerabilidad ha recibido el identificador CVE-2014-2367.

Vulnerabilidad de revelación de información en el componente upAdminPg.asp, que muestra la contraseña de la cuenta especificada al servir la página web. Esta vulnerabilidad ha recibido el identificador CVE-2014-2366.

Advantech WebAccess contiene un error que podría permitir a un usuario malicioso crear y eliminar ficheros arbitrarios, pudiendo permitir ejecución remota de código. Se ha asignado el identificador CVE-2014-2365 a esta vulnerabilidad.