Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades de desbordamiento de búfer en WebAccess de Advantech

Fecha de publicación 20/06/2019
Importancia
5 - Crítica
Recursos Afectados

WebAccess/SCADA, versión 8.4.0.

Descripción

Tenable ha reportado a Advantech dos vulnerabilidades de tipo desbordamiento de búfer que afectan a su software WebAccess/SCADA. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto, sin autenticación, la ejecución de código de manera arbitraria.

Solución

Actualizar WebAccess/SCADA a la versión 8.4.1 o posteriores.

Detalle
  • Existe una vulnerabilidad en viewsrv.dll debido a la validación incorrecta de los datos suministrados por el usuario, antes de copiar los datos a un búfer de pila de tamaño fijo, cuando se procesa una llamada IOCTL 10012 RPC. Se ha asignado el identificador CVE-2019-3953 para esta vulnerabilidad.
  • La función VdBroadWinGetLocalDataLogEx() en viewdll1.dll contiene una vulnerabilidad debido a la validación incorrecta de los datos suministrados por el usuario, antes de copiar los datos a un búfer de pila de tamaño fijo, cuando se procesa un mensaje RPC IOCTL 81024. Se ha asignado el identificador CVE-2019-3954 para esta vulnerabilidad.

Encuesta valoración