Vulnerabilidad de inyección SQL en Advantech iView

Fecha de publicación: 27/09/2022

Importancia:
Crítica

Recursos afectados:

Advantech iView, versión 5.7.04.6469.

Descripción:

Advantech iView contiene una vulnerabilidad de inyección SQL de severidad crítica.

Solución:

Advantech no ha publicado solución para esta vulnerabilidad.

Detalle:

El fallo específico existe en el endpoint ConfigurationServlet, que escucha por defecto en el puerto TCP 8080. Un atacante remoto no autenticado podría crear un parámetro column_value especial en la acción setConfiguration, para evitar las comprobaciones en com.imc.iview.utils.CUtils.checkSQLInjection() y realizar una inyección SQL. Por ejemplo, el atacante puede explotar la vulnerabilidad para recuperar la contraseña de administrador de iView.

Encuesta valoración

Etiquetas:
0day, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.