Múltiples vulnerabilidades en R-SeeNet de Advantech
Publication date:
12/15/2021
Importance:
4 -
Alta
Affected resources:
R-SeeNet: versión 2.4.16 y anteriores.
Description:
Yuri Kramarz, de Cisco Talos, informó al CISA de dos vulnerabilidades de severidad alta por las que usuarios autenticados podrían realizar una escalada de privilegios local y recuperar cualquier información de la base de datos del producto.
Solution:
Actualizar a la versión 2.4.17 o superior.
Detail:
- Múltiples vulnerabilidades de inyección SQL en las siguientes páginas: group_list, company_list, user_list y device_list que podrían permitir enviar una solicitud HTTP especialmente diseñada para activar las vulnerabilidades. Se han asignado los identificadores: CVE-2021-21915, CVE-2021-21916, CVE-2021-21917, CVE-2021-21918, CVE-2021-21919, CVE-2021-21920, CVE-2021-21921, CVE-2021-21922, CVE-2021-21923, CVE-2021-21924, CVE-2021-21925, CVE-2021-21926, CVE-2021-21927, CVE-2021-21928, CVE-2021-21929, CVE-2021-21930, CVE-2021-21931, CVE-2021-21932, CVE-2021-21933, CVE-2021-21934, CVE-2021-21935, CVE-2021-21936 y CVE-2021-21937 para esta vulnerabilidad.
- Una escalada de privilegios que podría activarse cuando un usuario autenticado reemplaza un archivo especialmente diseñado en el sistema para escalar privilegios a la autoridad NT SYSTEM. Se han asignado los identificadores CVE-2021-21910, CVE-2021-21911 y CVE-2021-21912 para esta vulnerabilidad.
References: