26 апреля 2018

Уязвимости в решении Advantech WebAccess HMI Designer

В программном обеспечении WebAccess HMI Designer, предназначенном для разработки SCADA/HMI, выявлены опасные уязвимости. Успешная эксплуатация этих уязвимостей позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе с помощью специально сформированных .pm3-файлов. Обработка таких файлов системой может привести к переполнению буфера в куче CVE-2018-8833, двойному освобождению памяти CVE-2018-8835 и записи за пределами поля CVE-2018-8837.

Проблемы затрагивают все версии программного обеспечения до версии 2.1.7.32 включительно. Все уязвимости имеют среднюю степень риска (6,3 балла по шкале CVSS v.3).

В настоящий момент компания Advantech занимается поиском решения этой проблемы.

Источники: ICS-CERT