多款Advantech产品权限许可和访问控制漏洞

漏洞介绍

Advantech WebAccess等都是研华（Advantech）公司的产品。Advantech WebAccess是一套基于浏览器架构的HMI/SCADA软件。该软件支持动态图形显示和实时数据控制，并提供远程控制和管理自动化设备的功能。WebAccess Dashboard是其中的一个仪表板组件；WebAccess Scada Node是其中的一个监控节点组件。WebAccess/NMS是一套用于网络管理系统（NMS）的网络浏览器基础套件。

多款Advantech产品中存在提权漏洞，该漏洞源于TFTP应用程序允许未授权的任意文件上传到Web应用程序。

。攻击者可利用该漏洞执行任意代码。以下版本受到影响：Advantech WebAccess 8.2_20170817及之前版本，8.3.0及之前版本；WebAccess Dashboard 2.0.15及之前版本；WebAccess Scada Node 8.3.1之前版本；WebAccess/NMS 2.0.3及之前版本。

漏洞补丁

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

http://www.advantech.com/

参考网址

来源:BID

链接：https://www.securityfocus.com/bid/104190

受影响实体

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201805-443