В пакете Advantech WebAccess обнаружены критические уязвимости

Тайваньский производитель промышленных решений Advantech устранил ряд опасных уязвимостей в программном пакете для ЧМИ Advantech WebAccess/SCADA. В частности, исправлены две критические проблемы, позволяющие удаленное выполнение кода, и ошибка, приводящая к сбою в работе ПО. Уязвимыми являются версии WebAccess/SCADA 8.3.5 и более ранние.

Воспользовавшись уязвимостями CVE-2019-6552 и CVE-2019-6550, неавторизованный атакующий может выполнить код с правами администратора. Проблемы затрагивают различные файлы, но, судя по всему, обе связаны с процессом webvrpcs. Источником уязвимости является отсутствие проверки длины вводимых пользователем данных до того, как они будут скопированы в буфер.

Уязвимость CVE-2019-6554 затрагивает файл UninstallWA.exe, а также процесс webvrpcs. С ее помощью неавторизованный атакующий может деинсталлировать приложение и вызвать отказ в обслуживании системы.

Указанные выше проблемы исправлены с релизом версии Advantech WebAccess 8.4.0.