![adva](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2023/07/adva.png)
Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Advantech iView, que permitiría a un atacante remoto autenticado realizar inyección SQL (SQLi) en el sistema afectado.
La vulnerabilidad identificada como CVE-2023-3983, de severidad “Alta” y con puntuación asignada de 8.8. Esta vulnerabilidad de inyección SQL (SQLi) se debe a una falla de validación de entradas del usuario en Advantech iView. Esto permitiría a un atacante remoto autenticado realizar inyección SQL ciega (Blind SQLi) y omisión de las validaciones de seguridad en la función com.imc.iview.utils.CUtils.checkSQLInjection(), obteniendo de esta manera la contraseña de administrador y otras informaciones confidenciales del sistema afectado.
El producto afectado es:
- Advantech iView, versiones anteriores a 5.7.4 build 6752.
Recomendamos acceder a la actualización correspondiente provista por el fabricante en el siguiente enlace:
Referencias: