Múltiples vulnerabilidades en varios productos de Advantech
Fecha de publicación 16/10/2020
Importancia
4 - Alta
Recursos Afectados
- WebAccess/SCADA, versiones 9.0 y anteriores;
- R-SeeNet, versiones desde 1.5.1 hasta 2.4.10.
Descripción
Los investigadores Sivathmican Sivakumaran de ZDI de Trend Micro, y el conocido como rgod, en colaboración con ZDI de Trend Micro, han reportado 2 vulnerabilidades, ambas con severidad alta, de tipo control externo de nombre de archivo o ruta e inyección SQL.
Solución
- Actualizar WebAccess/SCADA a la versión 9.0.1 o posteriores;
- actualizar R-SeeNet a la versión 2.4.11 o posteriores.
Detalle
- El componente WADashboard de WebAccess/SCADA podría permitir a un atacante controlar o influir en una ruta utilizada en una operación en el sistema de archivos, otorgándole la posibilidad de ejecutar código de forma remota como administrador. Se ha asignado el identificador CVE-2020-25161 para esta vulnerabilidad.
- La página web de R-SeeNet es vulnerable a una inyección SQL, que podría permitir a un atacante remoto invocar consultas en la base de datos y obtener información confidencial. Se ha asignado el identificador CVE-2020-25157 para esta vulnerabilidad.
Listado de referencias
Etiquetas