Múltiples vulnerabilidades en WebAccess/SCADA de Advantech

Fecha de publicación 24/01/2018

Importancia

3 - Media

Recursos Afectados

Advantech WebAccess/SCADA en versiones anteriores a la V8.2_20170817.

Descripción

El investigador rgod junto con Trend Micro’s Zero Day Initiative reportaron al ICS-CERT dos vulnerabilidades que podrían permitir la fuga de información sin necesidad de estar autenticado en el sistema.

Solución

Advantech ha puesto disponible la versión WebAccess/SCADA v 8.3.0, que resuelve las vulnerabilidades descubiertas. Esta nueva versión puede obtenerse en:

http://www.advantech.com/industrial-automation/webaccess/download

Detalle

Las vulnerabilidades descubiertas son:

Path trasversal, un atacante podría acceder con permisos de lectura a ficheros dentro de la estructura de directorios del dispositivo objetivo debido a una manipulación inapropiada los nombres de ruta. Esta vulnerabilidad ha recibido el identificador CVE-2018-5445.
Inyección SQL, WebAccess/SCADA no valida correctamente las sentencias de entrada SQL. Esta vulnerabilidad ha recibido el identificador CVE-2018-5443.

Listado de referencias

Advantech WebAccess/SCADA

Etiquetas