Múltiples vulnerabilidades en Advantech WebAccess/NMS
WebAccess/NMS, versiones anteriores a 3.0.2.
rgod, de 9sg, trabajando con Zero Day Initiative de Trend Micro, ha reportado 8 vulnerabilidades, siendo 2 de severidad crítica, 5 altas y 1 media. Los tipos de vulnerabilidades son: subida de ficheros potencialmente maliciosos sin restricción, inyección SQL, acceso relativo a rutas no controlado (relative path traversal), falta de autenticación para función crítica, restricción impropia de referencias a XXE (XML eXternal Entities) e inyección de comandos del SSOO.
Actualizar el producto afectado a la versión 3.0.2.
Un atacante que aproveche alguna de las vulnerabilidades descritas en este aviso, podría realizar alguna de las siguientes acciones:
- subir archivos potencialmente maliciosos y ejecutarlos;
- acceder a información sensible;
- eliminar o modificar ficheros fuera del control de la aplicación;
- crear perfiles de administrador;
- ejecutar comandos del sistema de manera remota.
Se han reservado los siguientes identificadores para estas vulnerabilidades: CVE-2020-10617, CVE-2020-10623, CVE-2020-10619, CVE-2020-10631, CVE-2020-10625, CVE-2020-10629 y CVE-2020-10603.
