Inicio / Content / Boletín de INCIBE-CERT del 26-10-2018

Boletín de INCIBE-CERT del 26-10-2018

Múltiples vulnerabilidades en WebAccess de Advantech

Fecha de publicación: 
26/10/2018
Importancia: 
4 - Alta
Recursos afectados: 
  • WebAccess, versión 8.3.2 y anteriores.
Descripción: 

El investigador Mat Powell de Zero Day Initiative de Trend Micro, ha identificado varias vulnerabilidades de tipo control de accesos inadecuado y desbordamiento de búfer que afectan a la solución WebAccess de Advantech que podría permitir a un atacante conseguir la ejecución de código arbitrario.

Solución: 

Advantech ha liberado la versión 8.3.3 de WebAccess que soluciona estas vulnerabilidades.

Detalle: 
  • Un atacante podría ejecutar código arbitrario aprovechando que el control de accesos esta deshabilitado durante el proceso de instalación de la aplicación. Se ha reservado el identificador CVE-2018-17908 para esta vulnerabilidad.

  • Una validación incorrecta de la longitud de los datos de entrada proporcionados por el usuario podría permitir a un atacante provocar un desbordamiento de búfer que le permita una ejecución de código arbitrario. Se ha reservado el identificador CVE-2018-17910 para esta vulnerabilidad.

Encuesta valoración

Cross-site scripting en Reliance 4 SCADA/HMI de GEOVAP

Fecha de publicación: 
26/10/2018
Importancia: 
3 - Media
Recursos afectados: 
  • Reliance 4 SCADA/HMI, versión 4.7.3, actualización 3 y anteriores.
Descripción: 

El investigador independiente Ismail Mert ha reportado una vulnerabilidad del tipo neutralización inadecuada de dato de entrada (cross-site scripting) que podría permitir a un atacante remoto usar un proxy http para inyectar código javascript arbitrario en una solicitud http.

Solución: 

GEOVAP ha publicado la versión 4.8 que soluciona esta vulnerabilidad.

Detalle: 
  • Un atacante remoto no autorizado podría ser capaz de inyectar código arbitrario. Se ha asignado el identificador CVE-2018-17904 para esta vulnerabilidad.

Encuesta valoración