Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en WebAccess/SCADA de Advantech

Fecha de publicación 02/06/2023
Identificador

INCIBE-2023-0207

Importancia
4 - Alta
Recursos Afectados

WebAccess/SCADA versiones 9.1.3 y anteriores

Descripción

YangLiu, del Instituto de Investigación Elex Feigong, ha informado de tres vulnerabilidades de severidad alta, que podrían permitir que un atacante sobrescriba archivos de manera arbitraria, lo que resultaría en la ejecución remota de código.

Solución

Advantech recomienda a los usuarios de WebAccess/SCADA actualizar a v9.1.4.

Detalle

Las vulnerabilidades de severidad alta detectadas pertenecen a los siguientes tipos:

  • Control inadecuado de generación de código. Esto podría permitir a un atacante sobrescribir cualquier archivo en el sistema operativo (incluidos los archivos del sistema), inyectar código en un archivo XLS y modificar la extensión del archivo, lo que podría conducir a la ejecución de código arbitrario. Se ha asignado el identificador CVE-2023-32540 para esta vulnerabilidad.
  • Carga sin restricciones de archivo de tipo peligroso. Esto podría permitir que un atacante cargue un archivo de secuencia de comandos ASP en un servidor web cuando inicia sesión como usuario administrador, lo que puede conducir a la ejecución de código arbitrario. Se han asignado los identificadores CVE-2023-22450 y CVE-2023-32628 para estas vulnerabilidades.