Webaccess Scada
Уязвимости
42
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.05754
Распределение по критичности
Критический
11
Высокий
18
Средний
13
Низкий
0
Затронутые диапазоны версий
9.1.5u–9.1.6< 8.2_20170817< 8.3.1< 8.4.5< 9.0.1< 9.1.4< 9.2.2≤ 9.0≤ 9.0.1≤ 9.0.3≤ 9.1.3
Также сопоставлено как (исходные строки): webaccess_scada,webaccess/scada
Топ уязвимостей
CVE-2023-32628В Advantech WebAccss/SCADA v9.1.3 и более ранних версиях существует уязвимость произвольной загрузки файлов, которая может позволить злоумышленнику изменить расширение файла сертификата на ASP при загрузке, что может привести к удаленному выполнению кода.
CVE-2023-32540В Advantech WebAccss/SCADA v9.1.3 и более ранних версиях существует уязвимость произвольной перезаписи файлов, которая может позволить злоумышленнику перезаписать любой файл в операционной системе (включая системные файлы), внедрить код в XLS-файл и изменить расширение файла, что может привести к произвольному выполнению кода.
CVE-2023-1437Все версии Advantech WebAccess/SCADA до 9.1.4 уязвимы для использования ненадежных указателей. Аргументы RPC, отправленные клиентом, могут содержать необработанные указатели памяти, которые сервер может использовать как есть. Это может позволить злоумышленнику получить доступ к удаленной файловой системе и возможность выполнять команды и перезаписывать файлы.
CVE-2021-32943Уязвимый продукт уязвим для переполнения буфера на основе стека, что может позволить злоумышленнику удаленно выполнять произвольный код на WebAccess/SCADA (WebAccess/SCADA версий до 8.4.5, WebAccess/SCADA версий до 9.0.1).
CVE-2019-6523WebAccess/SCADA, версия 8.3. Программное обеспечение неправильно очищает свои входные данные для команд SQL.
CVE-2019-6519WebAccess/SCADA, версия 8.3. Существует неправильная уязвимость аутентификации, которая может позволить обойти аутентификацию, позволяя злоумышленнику загружать вредоносные данные.
CVE-2018-8845В Advantech WebAccess версий V8.2_20170817 и более ранних, WebAccess версий V8.3.0 и более ранних, WebAccess Dashboard версий V.2.0.15 и более ранних, WebAccess Scada Node версий до 8.3.1 и WebAccess/NMS 2.0.3 и более ранних была выявлена уязвимость переполнения буфера на основе кучи, которая может позволить злоумышленнику выполнить произвольный код.
CVE-2018-7505В Advantech WebAccess версий V8.2_20170817 и более ранних, WebAccess версий V8.3.0 и более ранних, WebAccess Dashboard версий V.2.0.15 и более ранних, WebAccess Scada Node версий до 8.3.1 и WebAccess/NMS 2.0.3 и более ранних приложение TFTP имеет неограниченную загрузку файлов в веб-приложение без авторизации, что может позволить злоумышленнику выполнить произвольный код.
CVE-2018-7499В Advantech WebAccess версий V8.2_20170817 и более ранних, WebAccess версий V8.3.0 и более ранних, WebAccess Dashboard версий V.2.0.15 и более ранних, WebAccess Scada Node версий до 8.3.1 и WebAccess/NMS 2.0.3 и более ранних выявлено несколько уязвимостей переполнения буфера на основе стека, которые могут позволить злоумышленнику выполнить произвольный код.
CVE-2018-7497В Advantech WebAccess версий V8.2_20170817 и более ранних, WebAccess версий V8.3.0 и более ранних, WebAccess Dashboard версий V.2.0.15 и более ранних, WebAccess Scada Node версий до 8.3.1 и WebAccess/NMS 2.0.3 и более ранних выявлено несколько уязвимостей разыменования ненадежных указателей, которые могут позволить злоумышленнику выполнить произвольный код.
CVE-2018-10589В Advantech WebAccess версий V8.2_20170817 и более ранних, WebAccess версий V8.3.0 и более ранних, WebAccess Dashboard версий V.2.0.15 и более ранних, WebAccess Scada Node версий до 8.3.1 и WebAccess/NMS 2.0.3 и более ранних была выявлена уязвимость обхода пути, которая может позволить злоумышленнику выполнить произвольный код.
CVE-2021-22669Неправильные разрешения установлены по умолчанию на странице «Управление проектами» портала WebAccess/SCADA версии WebAccess/SCADA 9.0.1 и более ранних, что может позволить пользователю с низкими привилегиями обновить пароль администратора и войти в систему в качестве администратора для повышения привилегий в системе.
CVE-2020-25161Компонент WADashboard WebAccess/SCADA версий 9.0 и ниже может позволить злоумышленнику контролировать или влиять на путь, используемый в операции с файловой системой, и удаленно выполнять код от имени администратора.
CVE-2020-13555В файловых разрешениях установки Advantech WebAccess/SCADA 9.0.1 существует уязвимость, допускающая локальное повышение привилегий, которую можно использовать. В повышении привилегий приложения COM Server злоумышленник может либо заменить бинарный файл, либо загруженные модули для выполнения кода с привилегиями NT SYSTEM.
CVE-2020-13553Существует эксплуатируемая уязвимость локального повышения привилегий в разрешениях файловой системы установки Advantech WebAccess/SCADA 9.0.1. В webvrpcs Run Key Privilege Escalation в установочной папке WebAccess злоумышленник может либо заменить исполняемый файл, либо загруженные модули для выполнения кода с привилегиями NT SYSTEM.
CVE-2020-13552Существует эксплуатируемая уязвимость локального повышения привилегий в разрешениях файловой системы установки Advantech WebAccess/SCADA 9.0.1. При повышении привилегий через несколько исполняемых файлов служб в установочной папке WebAccess злоумышленник может либо заменить исполняемый файл, либо загруженные модули для выполнения кода с привилегиями NT SYSTEM.
CVE-2020-13551Существует эксплуатируемая уязвимость локального повышения привилегий в разрешениях файловой системы установки Advantech WebAccess/SCADA 9.0.1. При повышении привилегий через исполняемый файл PostgreSQL злоумышленник может либо заменить исполняемый файл, либо загруженные модули для выполнения кода с привилегиями NT SYSTEM.
CVE-2025-14849Адвантех WebAccess/SCADA
уязвим для неограниченной загрузки файлов, что может позволить злоумышленнику удаленно выполнять произвольный код.
CVE-2019-6521WebAccess/SCADA, версия 8.3. Специально созданные запросы могут позволить обойти аутентификацию, что позволит злоумышленнику получить и манипулировать конфиденциальной информацией.
CVE-2020-13554В файловых разрешениях установки Advantech WebAccess/SCADA 9.0.1 существует уязвимость, допускающая локальное повышение привилегий, которую можно использовать. В повышении привилегий через ключ запуска webvrpcs в установочной папке WebAccess злоумышленник может либо заменить бинарный файл, либо загруженные модули для выполнения кода с привилегиями NT SYSTEM.
CVE-2018-8841В Advantech WebAccess версий V8.2_20170817 и более ранних, WebAccess версий V8.3.0 и более ранних, WebAccess Dashboard версий V.2.0.15 и более ранних, WebAccess Scada Node версий до 8.3.1 и WebAccess/NMS 2.0.3 и более ранних, неправильное управление привилегиями может позволить аутентифицированному пользователю изменять файлы, когда пользователю должен быть предоставлен только доступ для чтения.
CVE-2020-13550В функциональности установки Advantech WebAccess/SCADA 9.0.1 существует уязвимость включения локального файла. Специально созданное приложение может привести к раскрытию информации. Злоумышленник может отправить аутентифицированный HTTP-запрос для использования этой уязвимости.
CVE-2018-7503В Advantech WebAccess версий V8.2_20170817 и более ранних, WebAccess версий V8.3.0 и более ранних, WebAccess Dashboard версий V.2.0.15 и более ранних, WebAccess Scada Node версий до 8.3.1 и WebAccess/NMS 2.0.3 и более ранних была обнаружена уязвимость обхода пути, которая может позволить злоумышленнику раскрыть конфиденциальную информацию на целевом объекте.
CVE-2018-7501В Advantech WebAccess версий V8.2_20170817 и более ранних, WebAccess версий V8.3.0 и более ранних, WebAccess Dashboard версий V.2.0.15 и более ранних, WebAccess Scada Node версий до 8.3.1 и WebAccess/NMS 2.0.3 и более ранних выявлено несколько уязвимостей SQL-инъекций, которые могут позволить злоумышленнику раскрыть конфиденциальную информацию с хоста.
CVE-2018-7495В Advantech WebAccess версий V8.2_20170817 и более ранних, WebAccess версий V8.3.0 и более ранних, WebAccess Dashboard версий V.2.0.15 и более ранних, WebAccess Scada Node версий до 8.3.1 и WebAccess/NMS 2.0.3 и более ранних выявлена уязвимость внешнего контроля имени файла или пути, которая может позволить злоумышленнику удалять файлы.