天创培训:您身边的信息安全培训专家!
行业动态
物联网应用平台研华WebAccess软件爆任意代码执行漏洞

  研华WebAccess软件是研华物联网应用平台解决方案的核心,为用户提供一个基于HTML5技术用户界面,实现跨平台、跨浏览器的数据访问体验。使用WebAccess后,用户可以建立一个信息管理平台,同步提高垂直市场管理发展的效率。

  研华WebAccess提供了一个基于HTML5的智能仪表板作为下一代WebAccess的人机界面。其中,小部件功能可以让系统集成商通过分析图表和图形用仪表板编辑器来创建自定义信息页面。在创建仪表板界面之后,最终用户可以通过仪表板查看器来查看数据与以及可以在电脑、Mac、平板电脑和智能手机通过任何浏览器无缝观看体验。

  根据美国ICS-CERT消息,8.2_20170817之前的WebAccess版本受基于堆栈的缓冲区溢出(CVE-2017-14016)漏洞和不可信的指针取消引用漏洞(CVE-2017-12719)的影响。

  “WebAccess在将用户提供的数据复制到基于堆栈的缓冲区之前缺少适当的验证长度,这可能允许攻击者在该进程的上下文中执行任意代码。”ICS-CERT对缓冲区溢出漏洞进行了解释,该漏洞已被分类为中危漏洞。

  至于第二个漏洞已经被分类为高危漏洞,ICS-CERT警告说:“远程攻击者能够执行代码来引用程序中的指针,最终导致WebAccess不可用。”

  趋势科技的Zero Day Initiative(ZDI)团队通过Offensive Security的Steven Seeley向研华公司通报了这两个漏洞。

  ZDI尚未公布关于这两个漏洞的细节,但目前仍存在于ZDI即将到期公布的漏洞列表中。 在这份列表中罗列出了70多个漏洞,其中包括许多高危漏洞。

  ZDI计划在11月底到12月初披露更多的安全漏洞。根据ZDI在5月份发布的一份报告显示,研华平均需要131天的时间来修补漏洞,超过了ZDI 设定的披露期限(4个月)。

  安全研究人员在过去几年中发现了研华WebAccess软件中存在多个漏洞。就在几个月前,ICS-CERT透露,前后共计有10个,包括允许远程代码执行和未授权访问的漏洞,但都已经被研华修复。