Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en WISE-PaaS/RMM de Advantech

Múltiples vulnerabilidades en WISE-PaaS/RMM de Advantech

Fecha de publicación: 
04/11/2019
Importancia: 
5 - Crítica
Recursos afectados: 

WISE-PaaS/RMM versión 3.3.29 y anteriores.

Descripción: 

El equipo de rgod de 9sg Security Team y trendytofu han reportado cuatro vulnerabilidades, dos con severidad crítica, una alta y otra media. Un atacante remoto podría provocar la ejecución de código de forma remota con privilegios de administrador, uso de funciones sin autenticación, acceso a información sensible e inyección de comandos SQL.

Solución: 

Advantech ha remplazado WISE-PaaS/RMM en julio de 2019 por EdgeSense y DeviceOn y recomiendan substituir el software vulnerable por el nuevo, el cual dispone de soporte.

Detalle: 
  • Las vulnerabilidades de severidad crítica son:
    • La falta de validación en las rutas de directorios puede permitir a un atacante la ejecución de código remoto mientras se hace pasar por un administrador. Se ha asignado el identificador CVE-2019-13551 para esta vulnerabilidad.
    • Existe una función que permite a cualquiera, que pudiese acceder a la dirección IP, utilizar dicha función sin necesidad de autenticación. Se ha asignado el identificador CVE-2019-13547 para esta vulnerabilidad.
  • La vulnerabilidad de criticidad alta es:
    • Existen una serie de vulnerabilidades XXE que podrían permitir a un atacante revelar información sensible. Se ha asignado el identificador CVE-2019-18227 para esta vulnerabilidad.
  • La vulnerabilidad de criticidad media es:
    • La falta de tratamiento de las entradas del usuario podrían permitir a un atacante la inyección de comandos SQL, y a través de esta, podría revelar información sensible. Se ha asignado el identificador CVE-2019-18229 para esta vulnerabilidad.

Encuesta valoración

Etiquetas: