Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Advantech WebAccess/NMS

Múltiples vulnerabilidades en Advantech WebAccess/NMS

Fecha de publicación: 
08/04/2020
Importancia: 
5 - Crítica
Recursos afectados: 

WebAccess/NMS, versiones anteriores a 3.0.2.

Descripción: 

rgod, de 9sg, trabajando con Zero Day Initiative de Trend Micro, ha reportado 8 vulnerabilidades, siendo 2 de severidad crítica, 5 altas y 1 media. Los tipos de vulnerabilidades son: subida de ficheros potencialmente maliciosos sin restricción, inyección SQL, acceso relativo a rutas no controlado (relative path traversal), falta de autenticación para función crítica, restricción impropia de referencias a XXE (XML eXternal Entities) e inyección de comandos del SSOO.

Solución: 

Actualizar el producto afectado a la versión 3.0.2.

Detalle: 

Un atacante que aproveche alguna de las vulnerabilidades descritas en este aviso, podría realizar alguna de las siguientes acciones:

  • subir archivos potencialmente maliciosos y ejecutarlos;
  • acceder a información sensible;
  • eliminar o modificar ficheros fuera del control de la aplicación;
  • crear perfiles de administrador;
  • ejecutar comandos del sistema de manera remota.

Se han reservado los siguientes identificadores para estas vulnerabilidades: CVE-2020-10617, CVE-2020-10623, CVE-2020-10619, CVE-2020-10631, CVE-2020-10625, CVE-2020-10629 y CVE-2020-10603.

Encuesta valoración