Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad de inyección SQL en Advantech iView

Vulnerabilidad de inyección SQL en Advantech iView

Fecha de publicación: 
27/09/2022
Identificador: 
INCIBE-2022-0938
Importancia: 
5 - Crítica
Recursos afectados: 

Advantech iView, versión 5.7.04.6469.

Descripción: 

Advantech iView contiene una vulnerabilidad de inyección SQL de severidad crítica.

Solución: 

Advantech no ha publicado solución para esta vulnerabilidad.

Detalle: 

El fallo específico existe en el endpoint ConfigurationServlet, que escucha por defecto en el puerto TCP 8080. Un atacante remoto no autenticado podría crear un parámetro column_value especial en la acción setConfiguration, para evitar las comprobaciones en com.imc.iview.utils.CUtils.checkSQLInjection() y realizar una inyección SQL. Por ejemplo, el atacante puede explotar la vulnerabilidad para recuperar la contraseña de administrador de iView.

Encuesta valoración