PT-2020-12979 · Advantech · Viewsrv+3
Z0Mb1E
·
Publicado
2020-05-08
·
Atualizado
2021-09-23
·
CVE-2020-12006
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Advantech WebAccess Node versões 8.4.4 e anteriores
Advantech WebAccess Node versão 9.0.0
Descrição
Existem várias vulnerabilidades de traversal de caminho relativo que podem permitir que um usuário com privilégios baixos sobrescreva arquivos fora do controle do aplicativo. O problema afeta o sistema WebAccess/SCADA, incluindo componentes como DATACORE, ViewSrv e DrawSrv, que são vulneráveis a ataques de traversal de diretório e injeção de comando.
Recomendações
Para as versões 8.4.4 e anteriores do Advantech WebAccess Node, atualize para uma versão posterior à 8.4.4 para resolver o problema.
Para o Advantech WebAccess Node versão 9.0.0, atualize para uma versão posterior à 9.0.0 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade IOCTL vulneráveis, como 0x0000791e e 0x00002711, até que um patch esteja disponível.
Correção
Relative Path Traversal
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Advantech Webaccess Node
Datacore
Drawsrv
Viewsrv