Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Escritura fuera de límites en WebAccess HMI Designer de Advantech

Fecha de publicación: 02/08/2019

Importancia: Alta

Recursos afectados:

Advantech WebAccess HMI Designer versión 2.1.9.23 y anteriores.

Descripción:

Mat Powell, de Zero Day Initiative (ZDI), ha reportado una vulnerabilidad de tipo escritura fuera de límites que afecta al software WebAccess HMI Designer de Advantech. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto la ejecución de código arbitrario.

Solución:

Advantech ha publicado la versión 2.1.9.31 de WebAccess HMI Designer, que soluciona esta vulnerabilidad.

Detalle:

Debido a una validación inadecuada de los datos proporcionados por el usuario a la hora de procesar archivos MCR especialmente diseñados, el sistema podría escribir fuera del área de búfer prevista, permitiendo la ejecución remota de código. Se ha asignado el identificador CVE-2019-10961 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad