bdu,anchore_overrides,nvd
Advantech
Уязвимости
569
Эксплуатируемые
0
Критический
154
Высокий
246
Топ продуктов
Webaccess109Advantech Webaccess87R-seenet74Webaccess Scada42Eki-6333ac-1gpo39Eki-6333ac-2g39Eki-6333ac-2gd39Iview39Webaccess Hmi Designer25Advantech Iview23Eki-6333ac-1gpo Firmware20Eki-6333ac-2g Firmware20Eki-6333ac-2gd Firmware20Webaccess\/nms20Wise-401013Wise-4010lan13Wise-405013Wise-4050lan13Wise-406013Wise-4060lan13
Топ уязвимостей
CVE-2025-34256Advantech WISE-DeviceOn Server версии до 5.4 содержат уязвимость криптографических ключей с жестким кодом. Продукт использует статический секрет HS512 HMAC для подписания EIRMMToken JWTs на всех установках. Сервер принимает поддельные JWT, которые должны содержать только действительное заявление по электронной почте, что позволяет удаленному злоумышленнику без аутентификации генерировать произвольные токены и выдавать себя за любую учетную запись DeviceOn, включая root super admin. Успешная эксплуатация позволяет осуществлять полный административный контроль экземпляра DeviceOn и может использоваться для выполнения кода на управляемых агентах с помощью функций удаленного управления DeviceOn.
CVE-2015-6476Устройства Advantech EKI-122x-BE с микропрограммным обеспечением до версии 1.65, устройства EKI-132x с микропрограммным обеспечением до версии 1.98 и устройства EKI-136x с микропрограммным обеспечением до версии 1.27 имеют жестко закодированные ключи SSH, что упрощает удаленным злоумышленникам получение доступа через сеанс SSH.
CVE-2014-9208Множественные переполнения буфера на основе стека в неуказанных DLL-файлах в Advantech WebAccess до 8.0.1 позволяют удаленным злоумышленникам выполнять произвольный код через неизвестные векторы.
CVE-2014-8385Переполнение буфера на шлюзах Advantech EKI-1200 с прошивкой до 1.63 позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные векторы.
CVE-2012-0243Переполнение буфера в элементе управления ActiveX в bwocxrun.ocx в Advantech/BroadWin WebAccess до 7.0 позволяет удаленным злоумышленникам выполнять произвольный код, используя возможность записи произвольного содержимого в любой путь.
CVE-2012-0242Уязвимость форматной строки в Advantech/BroadWin WebAccess до 7.0 позволяет удаленным злоумышленникам выполнять произвольный код через спецификаторы форматной строки в строке сообщения.
CVE-2012-0240GbScriptAddUp.asp в Advantech/BroadWin WebAccess до 7.0 неправильно выполняет аутентификацию, что позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные векторы.
CVE-2012-0238Переполнение буфера на основе стека в opcImg.asp в Advantech/BroadWin WebAccess до 7.0 позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные векторы.
CVE-2011-4526Переполнение буфера в элементе управления ActiveX в Advantech/BroadWin WebAccess до версии 7.0 может позволить удаленным злоумышленникам выполнять произвольный код через длинное строковое значение в неуказанных параметрах.
CVE-2011-4525Advantech/BroadWin WebAccess до версии 7.0 позволяет удаленным злоумышленникам инициировать извлечение произвольного веб-контента в пакетный файл в клиентской системе и выполнять этот пакетный файл через неуказанные векторы.
CVE-2011-4524Переполнение буфера в Advantech/BroadWin WebAccess до версии 7.0 позволяет удаленным злоумышленникам выполнять произвольный код через длинное строковое значение в неуказанных параметрах.
CVE-2011-1914Переполнение буфера в Advantech ADAM OLE для элемента управления ActiveX Process Control (OPC) Server в ADAM OPC Server до 3.01.012, Modbus RTU OPC Server до 3.01.010 и Modbus TCP OPC Server до 3.01.010 позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные векторы.
CVE-2011-0488Переполнение буфера на основе стека в NTWebServer.exe в тестовой веб-службе в InduSoft NTWebServer, распространяемой в Advantech Studio 6.1 и InduSoft Web Studio 7.0, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой демона) или, возможно, выполнять произвольный код через длинный запрос к TCP-порту 80.
CVE-2008-5848Модуль Advantech ADAM-6000 имеет 00000000 в качестве пароля по умолчанию, что упрощает удаленным злоумышленникам получение доступа через сеанс HTTP и (1) мониторинг или (2) управление деятельностью Modbus/TCP I/O модуля.
BDU:2021-06315Уязвимость микропрограммного обеспечения Ethernet модулей WISE-4060 и Adam-6050 D связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволять нарушителю, действующему удаленно, получить полный доступ к устройству с привилегии администратора с помощью специально сформированного пакета
BDU:2021-06313Уязвимость микропрограммного обеспечения Ethernet WISE-4060 и Adam-6050 D связана с ошибками в работе механизма восстановления пароля. Эксплуатация уязвимости может позволять нарушителю, действующему удаленно, восстановить настройки по умолчанию с помощью специально сформированного пакета данных
BDU:2017-02062Уязвимость программного обеспечения удаленного мониторинга Advantech WebAccess вызвана выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании
BDU:2016-00384Уязвимость подсистемы BwpAlarm программного обеспечения удаленного мониторинга Advantech WebAccess вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально сформированного RPC-запроса
BDU:2016-00383Уязвимость службы Kernel программного обеспечения удаленного мониторинга Advantech WebAccess вызвана целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании с помощью специально сформированного RPC-запроса
BDU:2016-00380Уязвимость программного обеспечения удаленного мониторинга Advantech WebAccess связана с отсутствием ограничений на загрузку файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, изменять файлы любого типа
BDU:2016-00361Уязвимость встроенного программного обеспечения промышленного Ethernet-коммутатора EKI серий 1321 и 1322 связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процедуру аутентификации
BDU:2016-00269Уязвимость встроенного программного обеспечения промышленного Ethernet-коммутатора EKI серий 1361, 1362, 1321, 122х, 1322 содержит ключи SSH по умолчанию. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к устройству путём установки SSH-соединения
BDU:2022-05387Уязвимость сервера Advantech WISE-PaaS/OTA Server связана с неправильными настройками прав доступа по умолчанию. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии в результате использования специально созданного файла
CVE-2025-52694Успешное использование уязвимости инъекций SQL может позволить неаутентифицируемому удаленному злоумышленнику выполнять произвольные команды SQL на уязвимой службе, когда он подвергается воздействию Интернета, что потенциально влияет на конфиденциальность, целостность и доступность данных. Пользователям и администраторам затронутых версий продукта рекомендуется немедленно обновиться до последних версий.
CVE-2024-50375Обнаружена CWE-306 "Отсутствие аутентификации для критически важной функции", затрагивающая следующие устройства, произведенные Advantech: EKI-6333AC-2G (<= 1.6.3), EKI-6333AC-2GD (<= v1.6.3) и EKI-6333AC-1GPO (<= v1.2.1). Уязвимость может быть использована удаленными неаутентифицированными пользователями, способными взаимодействовать со службой "edgserver" по умолчанию, включенной на точке доступа.