Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Desbordamiento de búfer en WebAcces/SCADA de Advantech

Fecha de publicación: 11/09/2019

Importancia: Crítica

Recursos afectados:

  • Advantech WebAccess/SCADA 8.4.1

Descripción:

Tenable ha descubierto una vulnerabilidad del tipo de desbordamiento de búfer. Un atacante remoto, sin autenticar, podría ejecutar código arbitrario.

Solución:

Actualizar a la versión 8.4.2 y posteriores.

Detalle:

El fallo existe en la función de GetUserPasswd, que se encuentra en la librería BwPAlarm.dll, debido a una validación incorrecta de los datos proporcionados por el usuario antes de copiarlos en el búfer de tamaño fijo cuando se procesa un mensaje RPC IOCTL 70603. Un atacante remoto, sin autenticar, podría ejecutar código arbitrario. Se ha asignado el identificado CVE-2019-3975 para esta vulnerabilidad.

Etiquetas: Actualización, SCADA, Vulnerabilidad