Z0Mb1E

**Nome do software vulnerável e versões afetadas** Advantech WebAccess Node versões 8.4.4 e anteriores Advantech WebAccess Node versão 9.0.0 **Descrição** Existem várias vulnerabilidades de traversal de caminho relativo, permitindo que um usuário com privilégios limitados sobrescreva arquivos fora do controle do aplicativo. O problema afeta o WebAccess/SCADA ViewSrv e o DrawSrv, onde está presente uma vulnerabilidade de execução remota de código por traversal de diretório IOCTL 0x0000277d. **Recomendações** Para as versões 8.4.4 e anteriores do Advantech WebAccess Node, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração. Para o Advantech WebAccess Node versão 9.0.0, restrinja o acesso ao IOCTL 0x0000277d vulnerável para impedir a execução remota de código. Como solução alternativa temporária, considere desativar os serviços `DrawSrv` e `ViewSrv` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Advantech WebAccess Node versões 8.4.4 e anteriores, versão 9.0.0 **Descrição** O problema é causado pela falta de validação adequada do comprimento dos dados fornecidos pelo usuário, o que pode permitir a execução remota de código devido a múltiplas vulnerabilidades de estouro de buffer baseadas em heap. **Recomendações** Para as versões 8.4.4 e anteriores do Advantech WebAccess Node, e para a versão 9.0.0, não há, no momento, informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Advantech WebAccess Node versões 8.4.4 e anteriores Advantech WebAccess Node versão 9.0.0 **Descrição** Existem várias vulnerabilidades de estouro de buffer baseadas na pilha devido à falta de validação adequada do comprimento dos dados fornecidos pelo usuário, o que pode permitir a execução remota de código. **Recomendações** Para as versões 8.4.4 e anteriores do Advantech WebAccess Node, atualize para uma versão posterior à 8.4.4 para resolver o problema. Para a versão 9.0.0 do Advantech WebAccess Node, atualize para uma versão posterior à 9.0.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao sistema afetado até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Advantech WebAccess Node versões 8.4.4 e anteriores Advantech WebAccess Node versão 9.0.0 **Descrição** Existem várias vulnerabilidades de traversal de caminho relativo que podem permitir que um usuário com privilégios baixos sobrescreva arquivos fora do controle do aplicativo. O problema afeta o sistema WebAccess/SCADA, incluindo componentes como DATACORE, ViewSrv e DrawSrv, que são vulneráveis a ataques de traversal de diretório e injeção de comando. **Recomendações** Para as versões 8.4.4 e anteriores do Advantech WebAccess Node, atualize para uma versão posterior à 8.4.4 para resolver o problema. Para o Advantech WebAccess Node versão 9.0.0, atualize para uma versão posterior à 9.0.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade IOCTL vulneráveis, como 0x0000791e e 0x00002711, até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Advantech WebAccess Node versões 8.4.4 e anteriores Advantech WebAccess Node versão 9.0.0 **Descrição** O problema decorre de uma sanitização inadequada de entradas, o que pode permitir que um invasor injete comandos SQL. Isso pode levar a vulnerabilidades de injeção de SQL e divulgação de informações. Especificamente, certos comandos IOCTL, como `IOCTL 0x00013c74`, `IOCTL 0x00013c75`, `IOCTL 0x00013c71`, `IOCTL 0x00013c76` e `IOCTL 0x00013c77`, são afetados. **Recomendações** Para as versões 8.4.4 e anteriores do Advantech WebAccess Node, atualize para uma versão posterior à 8.4.4 para resolver o problema. Para a versão 9.0.0 do Advantech WebAccess Node, considere desativar o serviço `BwWebSvc` até que um patch esteja disponível. Como solução alternativa temporária, restrinja o acesso aos comandos IOCTL afetados para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Advantech WebAccess Node versões 8.4.4 e anteriores Advantech WebAccess Node versão 9.0.0 **Descrição** Existe uma vulnerabilidade de acesso fora dos limites que pode permitir o acesso a dados não autorizados. Este problema afeta o sistema WebAccess/SCADA, especificamente os componentes DrawSrv e ViewSrv, que podem ser explorados por meio do IOCTL 0x00002722, levando à divulgação de informações por leitura fora dos limites. **Recomendações** Para as versões 8.4.4 e anteriores do Advantech WebAccess Node, atualize para uma versão posterior à 8.4.4 para resolver o problema. Para a versão 9.0.0 do Advantech WebAccess Node, considere desativar os componentes DrawSrv e ViewSrv como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao IOCTL 0x00002722 para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Advantech WebAccess Node versões 8.4.4 e anteriores Advantech WebAccess Node versão 9.0.0 **Descrição** Existe uma falha de validação inadequada, permitindo que um invasor injete dados especialmente criados na memória, onde podem ser executados. Isso pode potencialmente levar à execução remota de código. **Recomendações** Para as versões 8.4.4 e anteriores do Advantech WebAccess Node, atualize para uma versão posterior à 8.4.4 para resolver o problema. Para a versão 9.0.0 do Advantech WebAccess Node, considere desativar qualquer funcionalidade relacionada à validação inadequada de índices de matriz até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Advantech DiagAnywhere Server versions 3.07.11 and prior **Description** The issue is related to multiple stack-based buffer overflow vulnerabilities in the file transfer service of Advantech DiagAnywhere Server. These vulnerabilities could allow an unauthenticated attacker to execute arbitrary code with the privileges of the user running the server. The vulnerabilities exist in various functions, including FOLDER CREATE, FILE OPEN RO, FOLDER REMOVE, FILE CREATE, and SET CURR DIR. **Recommendations** For Advantech DiagAnywhere Server versions 3.07.11 and prior, at the moment, there is no information about a newer version that contains a fix for this vulnerability.