Fecha de publicaciĂłn: 06/08/2021
Importancia:
CrĂtica
Recursos afectados:
WebAccess/SCADA, versiones anteriores a:
- 8.4.5,
- 9.0.1.
DescripciĂłn:
Chizuru Toyama, investigador de TXOne IoT/ICS Security Research Labs, en colaboraciĂłn con ZDI de Trend Micro, ha reportado 3 vulnerabilidades al CISA, 1 crĂtica y 2 medias, que podrĂan permitir a un atacante secuestrar los tokens de cookies/sesiĂłn de un usuario, obtener acceso no autorizado a archivos y directorios, o ejecutar cĂłdigo arbitrario.
SoluciĂłn:
Advantech recomienda actualizar WebAccess/SCADA a las versiones:
Detalle:
- El producto afectado es vulnerable a un desbordamiento de bĂșfer basado en pila (stack), lo que podrĂa permitir a un atacante remoto ejecutar cĂłdigo arbitrario. Se ha asignado el identificador CVE-2021-32943 para esta vulnerabilidad crĂtica.
- UserExcelOut.asp, utilizado en WebAccess/SCADA, es vulnerable al Cross-Site Scripting (XSS), que podrĂa permitir a un atacante enviar cĂłdigo JavaScript malicioso. Esto podrĂa resultar en el secuestro de los tokens de cookies/sesiĂłn, la redirecciĂłn a una pĂĄgina web maliciosa, y la acciĂłn involuntaria del navegador. Se ha asignado el identificador CVE-2021-22676 para esta vulnerabilidad media.
- El producto afectado es vulnerable a una limitaciĂłn incorrecta de nombre de ruta relativa a un directorio restringido (relative path traversal), lo que podrĂa permitir a un atacante acceder a archivos y directorios no autorizados. Se ha asignado el identificador CVE-2021-22674 para esta vulnerabilidad media.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, SCADA, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.