Múltiples vulnerabilidades en el servidor SUSIAccess de Advantech
Fecha de publicación:
02/12/2016
Importancia:
4 -
Alta
Recursos afectados:
- SUISAccess Server, versión 3.0 y anteriores
Descripción:
El investigador rgod, trabajando con Zero Day Initiative (ZDI), ha identificado varias vulnerabilidades que afectan al servidor SUSIAccess de Advantech.
Solución:
Advantech no presta soporte a SUSIAccess. Han desarrollado WISE-PaaS/RMM para reemplazar el producto afectado. Para coordinar la compra del nuevo software, los usuarios deben ponerse en contacto con Advantech.
Detalle:
Las vulnerabilidades descubiertas son:
- Exposición de información: Un atacante podría saltar por el sistema de ficheros y extraer archivos que pueden resultar en una divulgación de información. Se ha reservado el identificador CVE-2016-9349 para esta vulnerabilidad.
- Salto de directorio: Un error de salto de directorio/subida de fichero podría permitir a un atacante subir o desempaquetar un fichero zip. Se ha reservado el identificador CVE-2016-9351 para esta vulnerabilidad.
- Permisos, privilegios y control de accesos: La contraseña de administrador es almacenada en el sistema y es cifrada con una clave embebida en el programa. Los atacantes pueden reconstruir la contraseña de administrador y usarla. Se ha reservado el identificador CVE-2016-9353 para esta vulnerabilidad.
Referencias:
Etiquetas: