Home / Node / Múltiples vulnerabilidades en R-SeeNet de Advantech

Múltiples vulnerabilidades en R-SeeNet de Advantech

Publication date: 
12/15/2021
Importance: 
4 - Alta
Affected resources: 

R-SeeNet: versión 2.4.16 y anteriores.

Description: 

Yuri Kramarz, de Cisco Talos, informó al CISA de dos vulnerabilidades de severidad alta por las que usuarios autenticados podrían realizar una escalada de privilegios local y recuperar cualquier información de la base de datos del producto.

Solution: 

Actualizar a la versión 2.4.17 o superior.

Detail: 
  • Múltiples vulnerabilidades de inyección SQL en las siguientes páginas: group_list, company_list, user_list y device_list que podrían permitir enviar una solicitud HTTP especialmente diseñada para activar las vulnerabilidades. Se han asignado los identificadores: CVE-2021-21915, CVE-2021-21916, CVE-2021-21917, CVE-2021-21918, CVE-2021-21919, CVE-2021-21920, CVE-2021-21921, CVE-2021-21922, CVE-2021-21923, CVE-2021-21924, CVE-2021-21925, CVE-2021-21926, CVE-2021-21927, CVE-2021-21928, CVE-2021-21929, CVE-2021-21930, CVE-2021-21931, CVE-2021-21932, CVE-2021-21933, CVE-2021-21934, CVE-2021-21935, CVE-2021-21936 y CVE-2021-21937 para esta vulnerabilidad.
  • Una escalada de privilegios que podría activarse cuando un usuario autenticado reemplaza un archivo especialmente diseñado en el sistema para escalar privilegios a la autoridad NT SYSTEM. Se han asignado los identificadores CVE-2021-21910, CVE-2021-21911 y CVE-2021-21912 para esta vulnerabilidad.

Encuesta valoración