Fecha de publicación: 18/06/2021
Importancia:
Alta
Recursos afectados:
WebAccess/SCADA, versión 9.0.1 y anteriores.
Descripción:
Chizuru Toyama, investigador de TXOne IoT/ICS Security Research Labs, en colaboración con ZDI de Trend Micro, ha detectado 2 vulnerabilidades, una de severidad alta y otra media, que podrían permitir a un atacante leer archivos fuera del directorio previsto o redirigir a un usuario a una página web maliciosa.
Solución:
Advantech es consciente de estas vulnerabilidades y actualmente está desarrollando una solución. Para más información, contactar con Advantech a través de la web o vía telefónica (1-888-576-9668).
Hasta entonces, es recomendable aplicar las medidas de mitigación descritas en el apartado 4 del aviso del CISA.
Detalle:
- WebAccess/SCADA es vulnerable a la redirección, lo que podría permitir a un atacante enviar una URL maliciosa con el objetivo de redirigir a un usuario a una página web arbitraria. Se ha asignado el identificador CVE-2021-32956 para esta vulnerabilidad alta.
- Una limitación incorrecta de nombre de ruta relativa a un directorio restringido (relative path traversal) podría permitir a un atacante remoto leer archivos arbitrarios en el sistema de archivos. Se ha asignado el identificador CVE-2021-32954 para esta vulnerabilidad media.
Etiquetas:
Infraestructuras críticas, IoT, SCADA, Vulnerabilidad
Ir a la fuente
Author: INCIBE