Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en el servidor SUSIAccess de Advantech

Múltiples vulnerabilidades en el servidor SUSIAccess de Advantech

Fecha de publicación: 
02/12/2016
Importancia: 
4 - Alta
Recursos afectados: 
  • SUISAccess Server, versión 3.0 y anteriores
Descripción: 

El investigador rgod, trabajando con Zero Day Initiative (ZDI), ha identificado varias vulnerabilidades que afectan al servidor SUSIAccess de Advantech.

Solución: 

Advantech no presta soporte a SUSIAccess. Han desarrollado WISE-PaaS/RMM para reemplazar el producto afectado. Para coordinar la compra del nuevo software, los usuarios deben ponerse en contacto con Advantech.

Detalle: 

Las vulnerabilidades descubiertas son:

  • Exposición de información: Un atacante podría saltar por el sistema de ficheros y extraer archivos que pueden resultar en una divulgación de información. Se ha reservado el identificador CVE-2016-9349 para esta vulnerabilidad.
  • Salto de directorio: Un error de salto de directorio/subida de fichero podría permitir a un atacante subir o desempaquetar un fichero zip. Se ha reservado el identificador CVE-2016-9351 para esta vulnerabilidad.
  • Permisos, privilegios y control de accesos: La contraseña de administrador es almacenada en el sistema y es cifrada con una clave embebida en el programa. Los atacantes pueden reconstruir la contraseña de administrador y usarla. Se ha reservado el identificador CVE-2016-9353 para esta vulnerabilidad.