Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en iView de Advantech

Múltiples vulnerabilidades en iView de Advantech

Fecha de publicación: 
10/02/2021
Importancia: 
5 - Crítica
Recursos afectados: 

iView, todas las versiones anteriores a la 5.7.03.6112.

Descripción: 

Los investigadores Anonymous y rgod, junto con ZDI de Trend Micro, y William Vu de Rapid7, han reportado 3 vulnerabilidades de severidad alta y una de severidad crítica que podrían permitir a un atacante remoto revelar información, realizar una escalada de privilegios, leer datos confidenciales y ejecutar código, respectivamente.

Solución: 

Actualizar iView a la versión 5.7.03.6112.

Detalle: 
  • Debido a una vulnerabilidad de inyección SQL, un atacante no autorizado podría divulgar información o realizar una escalada de privilegios. Se han asignado los identificadores CVE-2021-22654 y CVE-2021-22658 para estas vulnerabilidades de severidad alta, respectivamente.
  • Una vulnerabilidad de limitación incorrecta del nombre de la ruta a un directorio restringido (path traversal) podría permitir a un atacante leer datos confidenciales. Se ha asignado el identificador CVE-2021-22656 para esta vulnerabilidad de severidad alta.
  • La ausencia de autenticación en la configuración de iView podría permitir a un atacante, no autorizado, cambiar la configuración y ejecutar código. Se ha asignado el identificador CVE-2021-22652 para esta vulnerabilidad de severidad crítica.

Encuesta valoración