PT-2020-12994 · Advantech · Advantech Webaccess Node
Z0Mb1E
·
Publicado
2020-05-08
·
Atualizado
2021-09-23
·
CVE-2020-12026
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Advantech WebAccess Node versões 8.4.4 e anteriores
Advantech WebAccess Node versão 9.0.0
Descrição
Existem várias vulnerabilidades de traversal de caminho relativo, permitindo que um usuário com privilégios limitados sobrescreva arquivos fora do controle do aplicativo. O problema afeta o WebAccess/SCADA ViewSrv e o DrawSrv, onde está presente uma vulnerabilidade de execução remota de código por traversal de diretório IOCTL 0x0000277d.
Recomendações
Para as versões 8.4.4 e anteriores do Advantech WebAccess Node, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração.
Para o Advantech WebAccess Node versão 9.0.0, restrinja o acesso ao IOCTL 0x0000277d vulnerável para impedir a execução remota de código.
Como solução alternativa temporária, considere desativar os serviços
DrawSrv e ViewSrv até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Relative Path Traversal
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Advantech Webaccess Node