Múltiples vulnerabilidades en WebAccess de Advantech

Fecha de publicación 26/10/2018
Importancia
4 - Alta
Recursos Afectados
  • WebAccess, versión 8.3.2 y anteriores.
Descripción

El investigador Mat Powell de Zero Day Initiative de Trend Micro, ha identificado varias vulnerabilidades de tipo control de accesos inadecuado y desbordamiento de búfer que afectan a la solución WebAccess de Advantech que podría permitir a un atacante conseguir la ejecución de código arbitrario.

Solución

Advantech ha liberado la versión 8.3.3 de WebAccess que soluciona estas vulnerabilidades.

Detalle

  • Un atacante podría ejecutar código arbitrario aprovechando que el control de accesos esta deshabilitado durante el proceso de instalación de la aplicación. Se ha reservado el identificador CVE-2018-17908 para esta vulnerabilidad.

  • Una validación incorrecta de la longitud de los datos de entrada proporcionados por el usuario podría permitir a un atacante provocar un desbordamiento de búfer que le permita una ejecución de código arbitrario. Se ha reservado el identificador CVE-2018-17910 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Advisory (ICSA-18-298-02) Advantech WebAccess
[Actualización 02/11/2018] Advantech WebAccess Client Improper Access Control Privilege Escalation Vulnerability
[Actualización 02/11/2018] Advantech WebAccess Client bwswfcfg Stack-based Buffer Overflow Remote Code Execution Vulnerability
Etiquetas