Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en WebAccess/SCADA de Advantech

Fecha de publicación 24/01/2018
Importancia
3 - Media
Recursos Afectados
  • Advantech WebAccess/SCADA en versiones anteriores a la V8.2_20170817.
Descripción

El investigador rgod junto con Trend Micro’s Zero Day Initiative reportaron al ICS-CERT dos vulnerabilidades que podrían permitir la fuga de información sin necesidad de estar autenticado en el sistema.

Solución

Advantech ha puesto disponible la versión WebAccess/SCADA v 8.3.0, que resuelve las vulnerabilidades descubiertas. Esta nueva versión puede obtenerse en:

Detalle

Las vulnerabilidades descubiertas son:

  • Path trasversal, un atacante podría acceder con permisos de lectura a ficheros dentro de la estructura de directorios del dispositivo objetivo debido a una manipulación inapropiada los nombres de ruta. Esta vulnerabilidad ha recibido el identificador CVE-2018-5445.
  • Inyección SQL, WebAccess/SCADA no valida correctamente las sentencias de entrada SQL. Esta vulnerabilidad ha recibido el identificador CVE-2018-5443.

Encuesta valoración

Listado de referencias
Etiquetas