Múltiples vulnerabilidades en Advantech iView
Fecha de publicación 15/07/2020
Importancia
5 - Crítica
Recursos Afectados
iView, versiones 5.6 y anteriores.
Descripción
Se han publicado múltiples vulnerabilidades, 3 de severidad crítica y 3 altas, que podrían permitir a un atacante leer o modificar información, ejecutar código arbitrario, limitar la disponibilidad del sistema o provocar el cierre inesperado de la aplicación.
Solución
Actualizar a la versión 5.7.
Detalle
- Múltiples vulnerabilidades de inyección SQL podrían permitir a un atacante extraer las credenciales del usuario, leer o modificar la información o ejecutar código de forma remota. Se ha asignado el identificador CVE-2020-14497 para esta vulnerabilidad.
- Vulnerabilidades de salto de ruta (path traversal) podrían permitir a un atacante crear/descargar archivos arbitrarios, limitar la disponibilidad del sistema o ejecutar código de forma remota. Se ha asignado el identificador CVE-2020-14507 para esta vulnerabilidad.
- La neutralización incorrecta de los elementos especiales podría permitir a un atacante enviar una solicitud HTTP GET o POST que crea una cadena de comandos sin ninguna validación. El atacante podría entonces ejecutar código remotamente. Se ha asignado el identificador CVE-2020-14505 para esta vulnerabilidad.
- La validación inadecuada de los datos de entrada podría permitir a un atacante la ejecución remota de código arbitrario. Se ha asignado el identificador CVE-2020-14503 para esta vulnerabilidad.
- La falta de autenticación para una función crítica podría permitir a un atacante obtener la información de la tabla de usuarios, incluidas las credenciales de administrador en texto plano o eliminar la cuenta de administrador. Se ha asignado el identificador CVE-2020-14501 para esta vulnerabilidad.
- El control de acceso inadecuado podría permitir a un atacante obtener todas las credenciales de las cuentas de usuario. Se ha asignado el identificador CVE-2020-14499 para esta vulnerabilidad.
Listado de referencias
Etiquetas