Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en WebAccess de Advantech

Fecha de publicación: 26/10/2018

Importancia: Alta

Recursos afectados:

  • WebAccess, versión 8.3.2 y anteriores.

Descripción:

El investigador Mat Powell de Zero Day Initiative de Trend Micro, ha identificado varias vulnerabilidades de tipo control de accesos inadecuado y desbordamiento de búfer que afectan a la solución WebAccess de Advantech que podría permitir a un atacante conseguir la ejecución de código arbitrario.

Solución:

Advantech ha liberado la versión 8.3.3 de WebAccess que soluciona estas vulnerabilidades.

Detalle:

  • Un atacante podría ejecutar código arbitrario aprovechando que el control de accesos esta deshabilitado durante el proceso de instalación de la aplicación. Se ha reservado el identificador CVE-2018-17908 para esta vulnerabilidad.

  • Una validación incorrecta de la longitud de los datos de entrada proporcionados por el usuario podría permitir a un atacante provocar un desbordamiento de búfer que le permita una ejecución de código arbitrario. Se ha reservado el identificador CVE-2018-17910 para esta vulnerabilidad.

Etiquetas: Vulnerabilidad