Новость В Advantech WebAccess исправлены опасные уязвимости

[Apollon]

Исследователь безопасности Мэт Пауэлл (Mat Powell) из Trend Micro Zero Day Initiative обнаружил ряд уязвимостей в программном продукте Advantech WebAccess. Первыечетырезатрагивают версии WebAccess 8.3.1 и более ранние, ещедве– 8.3.2 и более ранние. Все перечисленные ниже уязвимости были исправлены производителем в версии 8.3.3.

CVE-2018-14816: несколько уязвимостей переполнения буфера в стеке, позволяющих выполнить произвольный код. По шкале оценивания опасности CVSS v3 уязвимость получила 9,8 балла из максимальных десяти.

CVE-2018-14820: затрагивает компонент .dll и позволяет удалять произвольные файлы при их обработке. По шкале оценивания опасности CVSS v3 уязвимость получила 7,5 балла из максимальных десяти.

CVE-2018-14828: уязвимость связана с некорректным управлением привилегиями и позволяет атакующему получать доступ к файлам и выполнять действия с привилегиями администратора системы. По шкале оценивания опасности CVSS v3 уязвимость получила 7,8 балла из максимальных десяти.

CVE-2018-14806: уязвимость обхода каталога (path traversal), позволяющая выполнить произвольный код. По шкале оценивания опасности CVSS v3 уязвимость получила 9,8 балла из максимальных десяти.

CVE-2018-17908: уязвимость связана с некорректным управлением доступом. В процессе инсталляции установщик приложения отключает управление доступом и не включает его после завершения установки. Это дает злоумышленнику возможность запускать произвольный код с повышенными привилегиями. По шкале оценивания опасности CVSS v3 уязвимость получила 8,4 балла из максимальных десяти.

CVE-2018-17910: уязвимость переполнения буфера в стеке. Приложение не способно должным образом подтверждать длину строк вводимых пользователем данных, что может привести к переполнению буфера и удаленному выполнению произвольного кода. По шкале оценивания опасности CVSS v3 уязвимость получила 7,8 балла из максимальных десяти.