Zero Day
Initiative ha reportado varias vulnerabilidades en la aplicación Advantech
WebAccess. Estas vulnerabilidades son explotables remotamente y podrían
aprovecharse para sortear la autenticación del sistema o causar una denegación
de servicio. Se le han asignado un nivel de Importancia: 4 - Alta
Recursos afectados
- Advantech WebAcess v7.1 y anteriores.
Detalle e Impacto de las
vulnerabilidades
- Se podría provocar un buffer overflow, proporcionando cadenas de texto excesivamente largas en los ficheros ActiveX webvact.ocx, dvs.ocx y webdact.ocx. Esta vulnerabilidad ha recibido el identificador CVE-2014-2364.
- El control ActiveX bwocxrun podría permitir acceso a ficheros locales a través del método BrowseFolder. Esta vulnerabilidad ha recibido el identificador CVE-2014-2368.
- La subrutina ChkCookie podría permitir acceso a ficheros locales si determinados usuarios están activos. Esta vulnerabilidad ha recibido el identificador CVE-2014-2367.
- Vulnerabilidad de revelación de información en el componente upAdminPg.asp, que muestra la contraseña de la cuenta especificada al servir la página web. Esta vulnerabilidad ha recibido el identificador CVE-2014-2366.
- Advantech WebAccess contiene un error que podría permitir a un usuario malicioso crear y eliminar ficheros arbitrarios, pudiendo permitir ejecución remota de código. Se ha asignado el identificador CVE-2014-2365 a esta vulnerabilidad.
- AdvanTech ha lanzado la versión WebAccess Installation Package v7.2, que resuelve las vulnerabilidades mencionadas, disponible desde http://webaccess.advantech.com/.
- Advisory (ICSA-14-198-02) Advantech WebAccess Vulnerabilities http://ics-cert.us-cert.gov/advisories/ICSA-14-198-02