●概述：
國內研華科技(Advantech)生產工業自動化、IoT商品，旗下Advantech WebAccess軟體為跨平台、瀏覽器之人機介面，屬資料採集與監控系統(supervisory control and data acquisition：SCADA)，適用於自動化設備動態圖形顯示和即時資料掌控，經趨勢Zero Day Initiative分析出6種漏洞，如STACK-BASED BUFFER OVERFLOW及PATH TRAVERSAL，一旦觸發則攻擊者能執行任意程式碼；操縱特製.dll元件能刪除重要內部檔案；囿於軟體安裝期間用戶被剝奪控制權且事後不回復，加諸部分檔案權限配置不善，駭客得伺機採取管理者行為。針對上述重要安全事件，研華公司已升級軟體版本並公告。
●編註：
(1)緩衝區溢位
本次分析出STACK-BASED BUFFER OVERFLOW漏洞有2個，遠端攻擊者送出惡意檔案被載入後，可能執行任意程式碼，而本機駭客利用輸入資料長度未嚴謹過濾之破綻，觸發buffer overflow後亦能執行任意碼。
(2)異常外部控制
因軟體內動態連結函式庫dll元件易受外部路徑、檔名控制而影響，遠端操縱特製.dll格式檔案，可能刪除系統內部重要資料。
(3)權限配置失當
(3-1)囿於系統內部分檔案存取權管理不善，本機用戶藉著該類檔案，可行使管理者級權力。
(3-2)在軟體安裝過程中，installer會停止用戶操控能力，然結束安裝後亦忽略交還用戶，導致合法使用者無控制權，反讓駭客伺機以高階帳戶權力執行程式。
(4) PATH TRAVERSAL
同樣是疏於檢驗路徑檔名，攻擊者遠端觸發目錄遍歷瑕疵，有機會執行任意程式碼。