Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en WebAccess de Advantech

Múltiples vulnerabilidades en WebAccess de Advantech

Fecha de publicación: 
08/01/2018
Importancia: 
4 - Alta
Recursos afectados: 

El fabricante Advantech ha indicado que las vulnerabilidades afectan a las siguientes versiones de WebAccess:

  • WebAccess versiones anteriores a 8.3
Descripción: 

Detectadas varias vulnerabilidades en WebAccess. La explotación exitosa de estas vulnerabilidades podría causar un bloqueo del dispositivo afectado. Un atacante remoto podría ejecutar código arbitrario o evitar la autenticación.

Solución: 

Los usuarios afectados pueden descargarse WbsAccess Versión 8.3 en la siguiente dirección:

http://www.advantech.com/industrial-automation/webaccess/download

Detalle: 

Los investigadores Steven Seeley de Seguridad ofensiva, Zhou Yu y Andrea Micalizzi de Zero Day Initiative de Trend Micro, y Michael Deplante han reportado las siguientes vulnerabilidades que afectan a varias versiones del producto WebAccess de Advantech.

  • Desreferencia insegura de puntero. Esta vulnerabilidad permitiría a un atacante usar direcciones de memoria no validadas para provocar un bloqueo del programa. Para esta vulnerabilidad se ha asignado el CVE-2017-16728.
  • Desbordamiento del buffer. Múltiples instancias de la vulnerabilidad permitirían a un atacante escribir datos en una ubicación de la pila. Para esta vulnerabilidad se ha asignado el CVE-2017-16724.
  • Limitación inapropiada de un nombre de ruta a un directorio restringido "Path Traversal". Esta vulnerabilidad permitiría a un atacante tener acceso a ficheros dentro del la estructura de directorios del dispositivo objetivo. Para esta vulnerabilidad se ha asignado el CVE-2017-16720.
  • Neutralización incorrecta en elementos especiales usados en un comando SQL "SQL Injection". WebAccess no sanitiza adecuadamente la entradas para comandos SQL. Para esta vulnerabilidad se ha asignado el CVE-2017-16716.
  • Validación de entrada inadecuada. Web Access permite algunas entradas que podrían causar fallos en el programa. Para esta vulnerabilidad se ha asignado el CVE-2017-16753.

Encuesta valoración

Etiquetas: