Производитель исправил проблемы с выпуском версии Advantech WebAccess 8.4.0.
Тайваньский производитель промышленных решений Advantech устранил ряд опасных уязвимостей в программном пакете для ЧМИ Advantech WebAccess/SCADA. В частности, исправлены две критические проблемы, позволяющие удаленное выполнение кода, и ошибка, приводящая к сбою в работе ПО. Уязвимыми являются версии WebAccess/SCADA 8.3.5 и более ранние.
Воспользовавшись уязвимостями CVE-2019-6552 и CVE-2019-6550, неавторизованный атакующий может выполнить код с правами администратора. Проблемы затрагивают различные файлы, но, судя по всему, обе связаны с процессом webvrpcs. Источником уязвимости является отсутствие проверки длины вводимых пользователем данных до того, как они будут скопированы в буфер.
Уязвимость CVE-2019-6554 затрагивает файл UninstallWA.exe, а также процесс webvrpcs. С ее помощью неавторизованный атакующий может деинсталлировать приложение и вызвать отказ в обслуживании системы.
Указанные выше проблемы исправлены с релизом версии Advantech WebAccess 8.4.0.
Гравитация научных фактов сильнее, чем вы думаете