Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en WebAccess de Advantech

Fecha de publicación: 24/10/2018

Importancia: Crítica

Recursos afectados:

  • WebAccess, versión 8.3.1 y anteriores.

Descripción:

El investigador Mat Powell de Zero Day Initiative de Trend Micro ha identificado varias vulnerabilidades de tipo desbordamiento de búfer, control externo de nombres de ficheros o rutas, gestión de privilegios inadecuada y salto de directorio que afectan a la solución WebAccess de Advantech. Un potencial atacante remoto podría conseguir la ejecución de código, acceso a ficheros para realizar acciones con privilegios de administrador o borrado de ficheros del sistema.

Solución:

Advantech ha liberado la versión 8.3.3 de la solución WebAccess que corrige estas vulnerabilidades.

Detalle:

  • Desbordamiento de búfer. Un potencial atacante remoto podría aprovechar alguno de los múltiples desbordamientos de búfer existentes para conseguir la ejecución de código arbitrario. Se ha asignado el identificador CVE-2018-14816 para esta vulnerabilidad.
  • Control externo de nombres de ficheros o rutas. Un potencial atacante podría aprovechar el control externo de nombres de ficheros o rutas en un componente dll para realizar un borrado arbitrario de ficheros cuando se procesa. Se ha asignado el identificador CVE-2018-14820 para esta vulnerabilidad.
  • Gestión de privilegios inadecuada. Un potencial atacante remoto podría aprovechar esta vulnerabilidad para realizar acciones sobre el sistema con privilegios de administrador. Se ha asignado el identificador CVE-2018-14828 para esta vulnerabilidad.
  • Salto de directorio. Un potencial atacante podría ejecutar código arbitrario valiéndose de esta vulnerabilidad. Se ha asignado el identificador CVE-2018-14806 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad