Varios investigadores han publicado a través de Zero Day Initiative
(ZDI) diferentes vulnerabilidades en la aplicacion Advantech WebAccess que
permitirían a un atacante la ejecución de código arbitrario o la visualización
de ficheros almacenados en la aplicacion. . A las vulnerabilidades le han asignado un nivel de Importancia: 4 - Alta
Recursos afectados
Los productos afectados por estas vulnerabilidades son:
- Advantech WebAccess versión 7.1 y anteriores.
- Las vulnerabilidades pueden explotarse de forma remota por un atacante, permitiendo la ejecución de código arbitrario, así como la divulgación de informacion, o la ejecución de comandos en el sistema.
- En concreto se han encontrado 6 desbordamientos de pila con una criticidad asignada de CVSS v2 de 7,5 y cuyos CVE asignados son: CVE-2014-0764, CVE-2014-0765, CVE-2014-0766, CVE-2014-0767, CVE-2014-0768 y CVE-2014-0770
- También se han publicado dos vulnerabilidades de divulgación de informacion con una criticidad CVSS v2 de 5 y con los CVE; CVE-2014-0771 y CVE-2014-0772. Una vulnerabilidad de inyección de código SQL con criticidad de 7,5 y CVE-2014-0763. Y una vulnerabilidad de inyección de comandos del sistema también con una asignación de criticidad de 7,5 y el CVE-2014-0773.
- Advantech ha publicado la versión 7.2 de este producto que corrige estas vulnerabilidades. Esta versión puede descargarse desde http://webaccess.advantech.com/downloads.php?item=software
- ICSA-14-079-03 http://ics-cert.us-cert.gov/advisories/ICSA-14-079-03
