Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidades de desbordamiento de búfer en WebAccess de Advantech

Vulnerabilidades de desbordamiento de búfer en WebAccess de Advantech

Fecha de publicación: 
20/06/2019
Importancia: 
5 - Crítica
Recursos afectados: 

WebAccess/SCADA, versión 8.4.0.

Descripción: 

Tenable ha reportado a Advantech dos vulnerabilidades de tipo desbordamiento de búfer que afectan a su software WebAccess/SCADA. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto, sin autenticación, la ejecución de código de manera arbitraria.

Solución: 

Actualizar WebAccess/SCADA a la versión 8.4.1 o posteriores.

Detalle: 
  • Existe una vulnerabilidad en viewsrv.dll debido a la validación incorrecta de los datos suministrados por el usuario, antes de copiar los datos a un búfer de pila de tamaño fijo, cuando se procesa una llamada IOCTL 10012 RPC. Se ha asignado el identificador CVE-2019-3953 para esta vulnerabilidad.
  • La función VdBroadWinGetLocalDataLogEx() en viewdll1.dll contiene una vulnerabilidad debido a la validación incorrecta de los datos suministrados por el usuario, antes de copiar los datos a un búfer de pila de tamaño fijo, cuando se procesa un mensaje RPC IOCTL 81024. Se ha asignado el identificador CVE-2019-3954 para esta vulnerabilidad.

Encuesta valoración