Home / Node / Boletín de INCIBE-CERT del 26-10-2018

Boletín de INCIBE-CERT del 26-10-2018

Múltiples vulnerabilidades en WebAccess de Advantech

Publication date: 
10/26/2018
Importance: 
4 - Alta
Affected resources: 
  • WebAccess, versión 8.3.2 y anteriores.
Description: 

El investigador Mat Powell de Zero Day Initiative de Trend Micro, ha identificado varias vulnerabilidades de tipo control de accesos inadecuado y desbordamiento de búfer que afectan a la solución WebAccess de Advantech que podría permitir a un atacante conseguir la ejecución de código arbitrario.

Solution: 

Advantech ha liberado la versión 8.3.3 de WebAccess que soluciona estas vulnerabilidades.

Detail: 
  • Un atacante podría ejecutar código arbitrario aprovechando que el control de accesos esta deshabilitado durante el proceso de instalación de la aplicación. Se ha reservado el identificador CVE-2018-17908 para esta vulnerabilidad.

  • Una validación incorrecta de la longitud de los datos de entrada proporcionados por el usuario podría permitir a un atacante provocar un desbordamiento de búfer que le permita una ejecución de código arbitrario. Se ha reservado el identificador CVE-2018-17910 para esta vulnerabilidad.

Encuesta valoración

Cross-site scripting en Reliance 4 SCADA/HMI de GEOVAP

Publication date: 
10/26/2018
Importance: 
3 - Media
Affected resources: 
  • Reliance 4 SCADA/HMI, versión 4.7.3, actualización 3 y anteriores.
Description: 

El investigador independiente Ismail Mert ha reportado una vulnerabilidad del tipo neutralización inadecuada de dato de entrada (cross-site scripting) que podría permitir a un atacante remoto usar un proxy http para inyectar código javascript arbitrario en una solicitud http.

Solution: 

GEOVAP ha publicado la versión 4.8 que soluciona esta vulnerabilidad.

Detail: 
  • Un atacante remoto no autorizado podría ser capaz de inyectar código arbitrario. Se ha asignado el identificador CVE-2018-17904 para esta vulnerabilidad.

Encuesta valoración