关键漏洞信息 概览 标题: Advantech WebAccess Vulnerabilities 最后更新日期: August 23, 2018 警报代码: ICSA-16-014-01 影响的产品 受到影响的版本: WebAccess Version 8.0 和更早版本 影响 攻击者可以利用这些漏洞上传、创建、删除目标系统上的任意文件,拒绝合法用户的访问,或远程执行任意代码。 脆弱性概述 内存位置访问超出缓冲区末端 (CWE-788) 无限制上传危险类型的文件 (CWE-434) 路径遍历 (CWE-22) 堆栈基于缓冲区溢出 (CWE-121) 堆基缓冲区溢出 (CWE-122) 竞争条件 (CWE-362) 整数溢出到缓冲区溢出 (CWE-680) 缓冲区内操作不当限制 (CWE-119) 访问控制不当 (CWE-284) 输入验证不当 (CWE-20) 跨站脚本 (CWE-79) SQL 注入 (CWE-89) 跨站请求伪造 (CWE-352) 外部控制文件名或路径 (CWE-73) 敏感信息明文存储 (CWE-312) 漏洞细节 可利用性: 这些漏洞可以远程利用。 已知漏洞利用: 没有已知的公开漏洞利用专门针对这些漏洞。 利用难度: 低技能攻击者可以利用这些漏洞。 缓解措施 Advantech 发布了新的 WebAccess 版本 8.1,以解决报告的漏洞。新版本可在 Advantech 网站上找到。 建议用户采取防御措施,包括最小化控制系统的网络暴露、使用防火墙隔离、使用安全方法如 VPN 等。 厂商 厂商: Advantech