CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2020-12014 – Advantech WebAccess/SCADA BwWebSvc IOCTL 0x00013c76 IOCTL 0x00013c77 SQL Injection Information Disclosure Vulnerability
https://notcve.org/view.php?id=CVE-2020-12014
08 May 2020 — Advantech WebAccess Node, Version 8.4.4 and prior, Version 9.0.0. Input is not properly sanitized and may allow an attacker to inject SQL commands. Advantech WebAccess Node, versiones 8.4.4 y anteriores, versión 9.0.0. Una entrada no está apropiadamente saneada y puede permitir a un atacante inyectar comandos SQL. This vulnerability allows remote attackers to disclose sensitive information on affected installations of Advantech WebAccess/SCADA. • https://www.us-cert.gov/ics/advisories/icsa-20-128-01 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2020-12018 – Advantech WebAccess/SCADA DrawSrv IOCTL 0x00002722 Out-Of-Bounds Read Information Disclosure Vulnerability
https://notcve.org/view.php?id=CVE-2020-12018
08 May 2020 — Advantech WebAccess Node, Version 8.4.4 and prior, Version 9.0.0. An out-of-bounds vulnerability exists that may allow access to unauthorized data. Advantech WebAccess Node, versiones 8.4.4 y anteriores, versión 9.0.0. Se presenta una vulnerabilidad de lectura fuera de límites que puede permitir el acceso a datos no autorizados. This vulnerability allows remote attackers to disclose sensitive information on affected installations of Advantech WebAccess/SCADA. • https://www.us-cert.gov/ics/advisories/icsa-20-128-01 • CWE-125: Out-of-bounds Read •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-12022 – Advantech WebAccess/SCADA DATACORE IOCTL 0x0000521e Improper Validation of Array Index Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2020-12022
08 May 2020 — Advantech WebAccess Node, Version 8.4.4 and prior, Version 9.0.0. An improper validation vulnerability exists that could allow an attacker to inject specially crafted input into memory where it can be executed. Advantech WebAccess Node, versiones 8.4.4 y anteriores, versión 9.0.0. Se presenta una vulnerabilidad de comprobación inapropiada que podría permitir a un atacante inyectar información especialmente diseñada dentro de la memoria donde pueda ser ejecutada. This vulnerability allows remote attackers to... • https://www.us-cert.gov/ics/advisories/icsa-20-128-01 • CWE-129: Improper Validation of Array Index •
CVSS: 9.8EPSS: 1%CPEs: 2EXPL: 0CVE-2020-12026 – Advantech WebAccess/SCADA DrawSrv IOCTL 0x0000277d Directory Traversal Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2020-12026
08 May 2020 — Advantech WebAccess Node, Version 8.4.4 and prior, Version 9.0.0. Multiple relative path traversal vulnerabilities exist that may allow a low privilege user to overwrite files outside the application’s control. Advantech WebAccess Node, versiones 8.4.4 y anteriores, versión 9.0.0. Se presentan múltiples vulnerabilidades de salto de ruta relativa que puede permitir a un usuario con poco privilegio sobrescribir archivos fuera del control de la aplicación. This vulnerability allows remote attackers to execute ... • https://www.us-cert.gov/ics/advisories/icsa-20-128-01 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-23: Relative Path Traversal •
CVSS: 8.2EPSS: 0%CPEs: 2EXPL: 0CVE-2020-12010 – Advantech WebAccess IOCTL 0x2738 Arbitrary File Deletion Vulnerability
https://notcve.org/view.php?id=CVE-2020-12010
08 Apr 2020 — Advantech WebAccess Node, Version 8.4.4 and prior, Version 9.0.0. Multiple relative path traversal vulnerabilities exist that may allow an authenticated user to use a specially crafted file to delete files outside the application’s control. Advantech WebAccess Node, versiones 8.4.4 y anteriores, versión 9.0.0. Se presentan múltiples vulnerabilidades de salto de ruta relativa que pueden permitir a un usuario autenticado usar un archivo especialmente diseñado para eliminar archivos fuera del control de la apl... • https://www.us-cert.gov/ics/advisories/icsa-20-128-01 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-23: Relative Path Traversal •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-3942
https://notcve.org/view.php?id=CVE-2019-3942
01 Apr 2020 — Advantech WebAccess 8.3.4 does not properly restrict an RPC call that allows unauthenticated, remote users to read files. An attacker can use this vulnerability to recover the administrator password. Advantech WebAccess versión 8.3.4, no restringe apropiadamente una llamada RPC lo que permite a usuarios remotos no autenticados leer archivos. Un atacante puede usar esta vulnerabilidad para recuperar la contraseña de administrador. • https://www.tenable.com/security/research/tra-2019-15 • CWE-284: Improper Access Control CWE-522: Insufficiently Protected Credentials •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-10607
https://notcve.org/view.php?id=CVE-2020-10607
27 Mar 2020 — In Advantech WebAccess, Versions 8.4.2 and prior. A stack-based buffer overflow vulnerability caused by a lack of proper validation of the length of user-supplied data may allow remote code execution. En Advantech WebAccess, versiones 8.4.2 y anteriores. Una vulnerabilidad de desbordamiento del búfer en la región stack de la memoria causada por la falta de una comprobación apropiada de la longitud de los datos suministrados por el usuario puede permitir una ejecución de código remota. • https://www.us-cert.gov/ics/advisories/icsa-20-086-01 • CWE-121: Stack-based Buffer Overflow CWE-787: Out-of-bounds Write •
CVSS: 9.8EPSS: 11%CPEs: 1EXPL: 1CVE-2019-3951
https://notcve.org/view.php?id=CVE-2019-3951
12 Dec 2019 — Advantech WebAccess before 8.4.3 allows unauthenticated remote attackers to execute arbitrary code or cause a denial of service (memory corruption) due to a stack-based buffer overflow when handling IOCTL 70533 RPC messages. Advantech WebAccess versiones anteriores a 8.4.3, permite a atacantes remotos no autenticados ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria) debido a un desbordamiento del búfer en la región stack de la memoria al manejar mensajes IOCTL 70533 RPC. • https://www.tenable.com/security/research/tra-2019-52 • CWE-121: Stack-based Buffer Overflow CWE-787: Out-of-bounds Write •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-13558
https://notcve.org/view.php?id=CVE-2019-13558
18 Sep 2019 — In WebAccess versions 8.4.1 and prior, an exploit executed over the network may cause improper control of generation of code, which may allow remote code execution, data exfiltration, or cause a system crash. En WebAccess versiones 8.4.1 y anteriores, una explotación ejecutada por medio de la red puede causar un control inapropiado de la generación de código, lo que puede permitir la ejecución de código remota, la filtración de datos o un causar un bloqueo del sistema. • https://www.us-cert.gov/ics/advisories/icsa-19-260-01 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-13550
https://notcve.org/view.php?id=CVE-2019-13550
18 Sep 2019 — In WebAccess, versions 8.4.1 and prior, an improper authorization vulnerability may allow an attacker to disclose sensitive information, cause improper control of generation of code, which may allow remote code execution or cause a system crash. En WebAccess, versiones 8.4.1 y anteriores, una vulnerabilidad de autorización inapropiada puede permitir a un atacante revelar información confidencial, causar un control inadecuando de la generación de código, lo que puede permitir la ejecución de código remota o ... • https://www.us-cert.gov/ics/advisories/icsa-19-260-01 • CWE-285: Improper Authorization •