PT-2020-5136 · Advantech · Advantech Webaccess

Publicado

2020-04-01

·

Atualizado

2020-04-02

·

CVE-2019-3942

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Advantech WebAccess versão 8.3.4
Descrição
O problema está relacionado à proteção insuficiente dos dados de registro no Advantech WebAccess, permitindo que um invasor remoto acesse informações protegidas. Especificamente, o Advantech WebAccess 8.3.4 não restringe adequadamente uma chamada RPC, permitindo que usuários remotos não autenticados leiam arquivos. Um invasor pode explorar essa vulnerabilidade para recuperar a senha de administrador.
Recomendações
Para o Advantech WebAccess versão 8.3.4, considere restringir o acesso à chamada RPC que permite a leitura de arquivos até que uma correção esteja disponível. Como solução temporária, limite a capacidade de usuários remotos não autenticados de ler arquivos para minimizar o risco de exploração.

Correção

Improper Access Control

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-522

Identificadores relacionados

BDU:2020-05732
CVE-2019-3942

Produtos afetados

Advantech Webaccess