В Advantech WebAccess исправлены опасные уязвимости
Исследователь безопасности Мэт Пауэлл (Mat Powell) из Trend Micro Zero Day Initiative обнаружил ряд уязвимостей в программном продукте Advantech WebAccess. Первые четыре затрагивают версии WebAccess 8.3.1 и более ранние, еще две – 8.3.2 и более ранние. Все перечисленные ниже уязвимости были исправлены производителем в версии 8.3.3.
CVE-2018-14816: несколько уязвимостей переполнения буфера в стеке, позволяющих выполнить произвольный код. По шкале оценивания опасности CVSS v3 уязвимость получила 9,8 балла из максимальных десяти.
CVE-2018-14820: затрагивает компонент .dll и позволяет удалять произвольные файлы при их обработке. По шкале оценивания опасности CVSS v3 уязвимость получила 7,5 балла из максимальных десяти.
CVE-2018-14828: уязвимость связана с некорректным управлением привилегиями и позволяет атакующему получать доступ к файлам и выполнять действия с привилегиями администратора системы. По шкале оценивания опасности CVSS v3 уязвимость получила 7,8 балла из максимальных десяти.
CVE-2018-14806: уязвимость обхода каталога (path traversal), позволяющая выполнить произвольный код. По шкале оценивания опасности CVSS v3 уязвимость получила 9,8 балла из максимальных десяти.
CVE-2018-17908: уязвимость связана с некорректным управлением доступом. В процессе инсталляции установщик приложения отключает управление доступом и не включает его после завершения установки. Это дает злоумышленнику возможность запускать произвольный код с повышенными привилегиями. По шкале оценивания опасности CVSS v3 уязвимость получила 8,4 балла из максимальных десяти.
CVE-2018-17910: уязвимость переполнения буфера в стеке. Приложение не способно должным образом подтверждать длину строк вводимых пользователем данных, что может привести к переполнению буфера и удаленному выполнению произвольного кода. По шкале оценивания опасности CVSS v3 уязвимость получила 7,8 балла из максимальных десяти.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш