Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Inyección SQL en iView de Advantech

Fecha de publicación 13/06/2024
Identificador
INCIBE-2024-0313
Importancia
4 - Alta
Recursos Afectados

iView Webserver: múltiples productos afectados, se pueden comprobar en el listado completo proporcionado por el fabricante.

Descripción

Zero Day Initiative ha publicado una vulnerabilidad para iView que ya ha sido corregida por Advantech.

Solución

Actualizar iView Webserver a las siguientes versiones:

  • Versión 5.7.04.6425;
  • Versión 5.7.04.6429;
  • Versión 5.7.04.6583;
  • Versión 5.7.04.6752;
  • Versión 5.7.04.6872.
Detalle

La vulnerabilidad CVE-2023-52335 existe debido al servletConfigurationServlet que escucha en el puerto 8080 por defecto. El proceso no valida correctamente cuando un usuario proporciona un elemento de tipo texto que se emplea para crear consultas SQL. Un atacante podría explotarlo para poder acceder a credenciales sin autorización y así conseguir comprometer el sistema.

Listado de referencias
ZDI-CAN-17863 - Advantech iView ConfigurationServlet SQL Injection Information Disclosure Vulnerability
Etiquetas