В ПО Advantech WebAccess HMI Designer обнаружены критические уязвимости

В программном обеспечении Advantech WebAccess HMI Designer выявлен ряд уязвимостей, совместная эксплуатация которых предоставляет возможность удаленного выполнения кода. Проблемы затрагивают версию WebAccess HMI Designer 2.1.7.32 и более ранние.

CVE-2018-8833 представляет собой уязвимость переполнения буфера, которая может быть проэксплуатирована путем отправки специально оформленных .pm3 файлов. Вторая проблема (CVE-2018-8835) – уязвимость двойного высвобождения памяти (double-free) возникает при обработке специально сформированных .pm3 файлов и позволяет удаленно выполнить код.

Наконец, третья уязвимость CVE-2018-8837 заключается в том, что с помощью специально сформированного .pm3 возможно заставить систему осуществить запись за пределами выделенной области буфера и выполнить произвольный код. Все три вышеописанные уязвимости получили оценку в 6,3 балла по шкале CVSS v3.

В настоящее время случаев эксплуатации уязвимостей злоумышленниками не выявлено.

Advantech WebAccess – программный пакет на базе web-интерфейса для построения систем человеко-машинного интерфейса (HMI) и диспетчерского управления и сбора данных (SCADA).