Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en WebAccess/SCADA de Advantech

Múltiples vulnerabilidades en WebAccess/SCADA de Advantech

Fecha de publicación: 
24/01/2018
Importancia: 
3 - Media
Recursos afectados: 
  • Advantech WebAccess/SCADA en versiones anteriores a la V8.2_20170817.
Descripción: 

El investigador rgod junto con Trend Micro’s Zero Day Initiative reportaron al ICS-CERT dos vulnerabilidades que podrían permitir la fuga de información sin necesidad de estar autenticado en el sistema.

Solución: 

Advantech ha puesto disponible la versión WebAccess/SCADA v 8.3.0, que resuelve las vulnerabilidades descubiertas. Esta nueva versión puede obtenerse en:

Detalle: 

Las vulnerabilidades descubiertas son:

  • Path trasversal, un atacante podría acceder con permisos de lectura a ficheros dentro de la estructura de directorios del dispositivo objetivo debido a una manipulación inapropiada los nombres de ruta. Esta vulnerabilidad ha recibido el identificador CVE-2018-5445.
  • Inyección SQL, WebAccess/SCADA no valida correctamente las sentencias de entrada SQL. Esta vulnerabilidad ha recibido el identificador CVE-2018-5443.

Encuesta valoración