PT-2021-9629 · Advantech · Advantech Webaccess/Scada
Publicado
2021-02-17
·
Atualizado
2022-06-29
·
CVE-2020-13551
CVSS v3.1
8.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Advantech WebAccess/SCADA versão 9.0.1
Descrição
Existe uma falha de elevação de privilégios locais nas permissões do sistema de arquivos da instalação, permitindo que um invasor eleve seus privilégios por meio do executável do PostgreSQL. Isso pode ser feito substituindo binários ou módulos carregados, possibilitando a execução de código com privilégios NT SYSTEM.
Recomendações
Para o Advantech WebAccess/SCADA versão 9.0.1, considere restringir o acesso ao executável do PostgreSQL como uma solução temporária até que um patch esteja disponível. Além disso, revise as permissões do sistema de arquivos para impedir modificações não autorizadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advantech Webaccess/Scada