ICS-CERT informuje o nowych podatnościach w produktach firmy Advantech. (P23-126)
cert.pse-online.pl 1 rok temu
Produkt
WebAccess/SCADA: Wszystkie wersje wcześniejsze niż 9.1.4
Numer CVE
CVE-2023-1437
Krytyczność
9,8/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis
Wszystkie wersje Advantech WebAccess/SCADA przed 9.1.4 są podatne na użycie niezaufanych wskaźników. Argumenty RPC, które klient wysłał do klienta, mogą zawierać surowe wskaźniki pamięci, których serwer ma używać w obecnej postaci. Może to pozwolić atakującemu na uzyskanie dostępu do zdalnego systemu plików oraz możliwość wykonywania poleceń i nadpisywania plików.