Múltiples vulnerabilidades en WebAccess/SCADA de Advantech

Múltiples vulnerabilidades en WebAccess/SCADA de Advantech
raquel.loma
Vie, 02/06/2023 – 10:51

Recursos Afectados

WebAccess/SCADA versiones 9.1.3 y anteriores

Descripción

YangLiu, del Instituto de Investigación Elex Feigong, ha informado de tres vulnerabilidades de severidad alta, que podrían permitir que un atacante sobrescriba archivos de manera arbitraria, lo que resultaría en la ejecución remota de código.

4 – Alta
Solución

Advantech recomienda a los usuarios de WebAccess/SCADA actualizar a v9.1.4.

Detalle

Las vulnerabilidades de severidad alta detectadas pertenecen a los siguientes tipos:

  • Control inadecuado de generación de código. Esto podría permitir a un atacante sobrescribir cualquier archivo en el sistema operativo (incluidos los archivos del sistema), inyectar código en un archivo XLS y modificar la extensión del archivo, lo que podría conducir a la ejecución de código arbitrario. Se ha asignado el identificador CVE-2023-32540 para esta vulnerabilidad.
  • Carga sin restricciones de archivo de tipo peligroso. Esto podría permitir que un atacante cargue un archivo de secuencia de comandos ASP en un servidor web cuando inicia sesión como usuario administrador, lo que puede conducir a la ejecución de código arbitrario. Se han asignado los identificadores CVE-2023-22450 y CVE-2023-32628 para estas vulnerabilidades.

Ir a la fuente
Author: raquel.loma
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.