Múltiples vulnerabilidades en Advantech WebAccess/SCADA

Fecha de publicación: 06/08/2021

Importancia:
Crítica

Recursos afectados:

WebAccess/SCADA, versiones anteriores a:

  • 8.4.5,
  • 9.0.1.

Descripción:

Chizuru Toyama, investigador de TXOne IoT/ICS Security Research Labs, en colaboración con ZDI de Trend Micro, ha reportado 3 vulnerabilidades al CISA, 1 crítica y 2 medias, que podrían permitir a un atacante secuestrar los tokens de cookies/sesión de un usuario, obtener acceso no autorizado a archivos y directorios, o ejecutar código arbitrario.

Solución:

Advantech recomienda actualizar WebAccess/SCADA a las versiones:

Detalle:

  • El producto afectado es vulnerable a un desbordamiento de búfer basado en pila (stack), lo que podría permitir a un atacante remoto ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-32943 para esta vulnerabilidad crítica.
  • UserExcelOut.asp, utilizado en WebAccess/SCADA, es vulnerable al Cross-Site Scripting (XSS), que podría permitir a un atacante enviar código JavaScript malicioso. Esto podría resultar en el secuestro de los tokens de cookies/sesión, la redirección a una página web maliciosa, y la acción involuntaria del navegador. Se ha asignado el identificador CVE-2021-22676 para esta vulnerabilidad media.
  • El producto afectado es vulnerable a una limitación incorrecta de nombre de ruta relativa a un directorio restringido (relative path traversal), lo que podría permitir a un atacante acceder a archivos y directorios no autorizados. Se ha asignado el identificador CVE-2021-22674 para esta vulnerabilidad media.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, SCADA, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.