V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
AdvantechПриложениеanchore_overrides,nvd

Iview

Уязвимости
39
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.59184

Распределение по критичности

Критический
14
Высокий
18
Средний
7
Низкий
0

Затронутые диапазоны версий

< 5.7.03.6112< 5.7.03.6182< 5.7.04.6425< 5.7.04.6469< 5.7.04.6752< 5.7.05 build 7057< 5.7.05.7057< 5.7.4.6752< 5.8.1≤ 5.6≤ 5.7
Также сопоставлено как (исходные строки): iview

Топ уязвимостей

CVE-2022-2143Уязвимый продукт подвержен двум случаям внедрения команд, что может позволить злоумышленнику удаленно выполнить произвольный код.
CVE-2022-2139Уязвимый продукт подвержен обходу каталогов, что может позволить злоумышленнику получить доступ к неавторизованным файлам и выполнить произвольный код.
CVE-2021-32930Конфигурация уязвимого продукта уязвима из-за отсутствия аутентификации, что может позволить злоумышленнику изменять конфигурации и выполнять произвольный код на iView (версии до v5.7.03.6182).
CVE-2021-22658Advantech iView версии до v5.7.03.6112 уязвима для SQL-инъекции, что может позволить злоумышленнику повысить привилегии до «Администратора».
CVE-2021-22652Доступ к конфигурации Advantech iView версий до v5.7.03.6112 не имеет аутентификации, что может позволить неавторизованному злоумышленнику изменить конфигурацию и получить возможность выполнения кода.
CVE-2020-16245Advantech iView, версии 5.7 и более ранние. Затронутый продукт уязвим для уязвимостей обхода пути, которые могут позволить злоумышленнику создавать/загружать произвольные файлы, ограничивать доступность системы и удаленно выполнять код.
CVE-2020-14507Advantech iView, версии 5.6 и более ранние, уязвим для множественных уязвимостей обхода пути, которые могут позволить злоумышленнику создавать/загружать произвольные файлы, ограничивать доступность системы и удаленно выполнять код.
CVE-2020-14505Advantech iView, версии 5.6 и более ранние, имеет уязвимость, связанную с неправильной нейтрализацией специальных элементов, используемых в команде («внедрение команд»). Успешная эксплуатация этой уязвимости может позволить злоумышленнику отправить HTTP GET или POST-запрос, который создает командную строку без какой-либо проверки. Затем злоумышленник может удаленно выполнить код.
CVE-2020-14503Advantech iView, версии 5.6 и более ранние, имеет уязвимость, связанную с неправильной проверкой входных данных. Успешная эксплуатация этой уязвимости может позволить злоумышленнику удаленно выполнить произвольный код.
CVE-2020-14501Advantech iView, версии 5.6 и более ранние, имеет проблему неправильной аутентификации для критически важной функции (CWE-306). Успешная эксплуатация этой уязвимости может позволить злоумышленнику получить информацию из таблицы пользователей, включая учетные данные администратора в виде открытого текста. Злоумышленник также может удалить учетную запись администратора.
CVE-2020-14497Advantech iView, версии 5.6 и более ранние, содержит несколько уязвимостей SQL-инъекций, которые уязвимы для использования строки, контролируемой злоумышленником, при построении SQL-запросов. Злоумышленник может извлечь учетные данные пользователя, читать или изменять информацию и удаленно выполнять код.
CVE-2022-50595Версии Advantech iView до построения 6425 v5.7.04 содержат уязвимость в инструменте управления SNMP, которая позволяет удаленным злоумышленникам обходить проверки аутентификации и достигать уязвимости инъекции SQL в параметре «ztp_search_value» до конечной точки «NetworkServlet». Успешная эксплуатация позволяет осуществлять удаленное выполнение кода с привилегиями администратора.
CVE-2022-50593Версии Advantech iView до построения 6425 v5.7.04 содержат уязвимость в инструменте управления SNMP, которая позволяет удаленным злоумышленникам обходить проверки аутентификации и достигать уязвимости инъекции SQL в параметре «search_term» до конечной точки «NetworkServlet». Успешная эксплуатация позволяет осуществлять удаленное выполнение кода с привилегиями администратора.
CVE-2022-50592Версии Advantech iView до построения 6425 v5.7.04 содержат уязвимость в инструменте управления SNMP, которая позволяет удаленным злоумышленникам обходить проверки подлинности и достигать уязвимости инъекции SQL в рамках параметра «getInventoryReportData» до конечной точки «NetworkServlet». Успешная эксплуатация позволяет осуществлять удаленное выполнение кода с привилегиями администратора.
CVE-2023-3983В Advantech iView версий до v5.7.4 build 6752 существует уязвимость SQL-инъекции, требующая аутентификации. Аутентифицированный удаленный злоумышленник может обойти проверки в com.imc.iview.utils.CUtils.checkSQLInjection() для выполнения слепой SQL-инъекции.
CVE-2022-50594Версии Advantech iView до построения v5.7.04 6425 содержат уязвимость в инструменте управления SNMP, которая позволяет удаленным злоумышленникам обходить проверки подлинности и достигать уязвимости индукторной уязвимости SQL в параметре «данные» до конечной точки «NetworkServlet». Успешная эксплуатация позволяет эксфильтровать пользовательские данные, включая четкие текстовые пароли.
CVE-2022-50591Версии Advantech iView до построения 6425 v5.7.04 содержат уязвимость в инструменте управления SNMP, которая позволяет удаленным злоумышленникам обходить проверки подлинности и достигать уязвимости инъекции SQL в рамках параметра «ztp_config_id» до конечной точки «NetworkServlet». Успешная эксплуатация позволяет эксфильтровать пользовательские данные, включая четкие текстовые пароли.
CVE-2025-53515В Advantech iView существует уязвимость, позволяющая выполнить SQL-инъекцию и потенциально выполнить код через NetworkServlet.archiveTrap(). Эта проблема требует аутентификации злоумышленника с правами хотя бы user-level [1]. Источники: - [1] https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-08 - [2] https://www.advantech.com/en/support/details/firmware-?id=1-HIPU-183
CVE-2025-53475Уязвимость в Advantech iView позволяет выполнить SQL-инъекцию и удаленное выполнение кода через NetworkServlet.getNextTrapPage(). Злоумышленнику необходимы права пользователя [1]. Успешная эксплуатация позволяет злоумышленнику раскрыть конфиденциальную информацию, выполнить произвольный код или вызвать отказ в обслуживании [1]. Источники: - [1] https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-08 - [2] https://www.advantech.com/en/support/details/firmware-?id=1-HIPU-183
CVE-2025-52577В Advantech iView обнаружена уязвимость, позволяющая выполнить SQL-инъекцию и удаленное выполнение кода через NetworkServlet.archiveTrapRange(). Проблема затрагивает версии до 5.7.05 build 7057 и требует наличия аутентифицированного злоумышленника с правами хотя бы пользователя. Уязвимость связана с недостаточной санацией входных параметров [1]. Источники: - [1] https://www.cisa.gov/news-events/ics-advisories/icsa-25-191-08 - [2] https://www.advantech.com/en/support/details/firmware-?id=1-HIPU-183
CVE-2025-13373Advantech iView версии 5.7.05.7057 и предыдущие не дезинфицируют должным образом ловушка SNMP v1 (Port 162), что может позволить злоумышленнику вводить команды SQL.
CVE-2023-52335Advantech iView ConfigurationServlet SQL Injection Information Disclosure Vulnerability. Эта уязвимость позволяет удаленным злоумышленникам раскрывать конфиденциальную информацию на затронутых установках Advantech iView. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретный недостаток существует в сервлете ConfigurationServlet, который прослушивает TCP-порт 8080 по умолчанию. При разборе элемента column_value процесс не проверяет должным образом строку, предоставленную пользователем, перед ее использованием для построения SQL-запросов. Злоумышленник может использовать эту уязвимость для раскрытия сохраненных учетных данных, что приведет к дальнейшему компрометации. Was ZDI-CAN-17863.
CVE-2022-3323Уязвимость SQL-инъекции в Advantech iView 5.7.04.6469. Конкретный недостаток существует в конечной точке ConfigurationServlet, которая прослушивает TCP-порт 8080 по умолчанию. Не прошедший проверку подлинности удаленный злоумышленник может создать специальный параметр column_value в действии setConfiguration, чтобы обойти проверки в com.imc.iview.utils.CUtils.checkSQLInjection() для выполнения SQL-инъекции. Например, злоумышленник может использовать эту уязвимость для получения пароля администратора iView.
CVE-2022-2138Уязвимый продукт уязвим из-за отсутствия аутентификации, что может позволить злоумышленнику читать или изменять конфиденциальные данные и выполнять произвольный код, что приведет к отказу в обслуживании.
CVE-2022-2135Уязвимый продукт подвержен многочисленным SQL-инъекциям, которые могут позволить неавторизованному злоумышленнику раскрыть информацию.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →