В Advantech WebAccess исправлены критические уязвимости

Тайваньский производитель встраиваемых систем и систем автоматизации Advantech исправил ряд уязвимостей в своем продукте WebAccess. Уязвимости позволяют осуществить SQL-инъекцию, переполнение буфера в стеке, переполнение буфера в куче, обход каталога, обход механизма авторизации, разыменование недоверенного указателя, а также повысить привилегии и получить контроль над именами файлов или путями.

Все вышеупомянутые уязвимости могут быть проэксплуатированы удаленно даже малоопытным хакером. С их помощью атакующий может получить доступ к конфиденциальной информации, удалить файлы и выполнить произвольный код.

Проблемы затрагивают следующие версии WebAccess:

WebAccess V8.2_20170817 и более ранние;

WebAccess V8.3.0 и более ранние;

WebAccess Dashboard V.2.0.15 и более ранние;

WebAccess Scada Node до 8.3.1;

WebAccess/NMS 2.0.3 и более ранние.

Уязвимости исправлены в версии WebAccess 8.3.1.

HMI/SCADA WebAccess – программное обеспечение для удаленного мониторинга и настройки оборудования автоматизации в системах административно-хозяйственного управления. Используется на производственных предприятиях, в электроэнергетическом секторе и на водоочистных станциях в США, Европе и странах Восточной Азии.