Cross-site scripting en Reliance 4 SCADA/HMI de GEOVAP

Fecha de publicación:

26/10/2018

Importancia:

3 - Media

Recursos afectados:

Reliance 4 SCADA/HMI, versión 4.7.3, actualización 3 y anteriores.

Descripción:

El investigador independiente Ismail Mert ha reportado una vulnerabilidad del tipo neutralización inadecuada de dato de entrada (cross-site scripting) que podría permitir a un atacante remoto usar un proxy http para inyectar código javascript arbitrario en una solicitud http.

Solución:

GEOVAP ha publicado la versión 4.8 que soluciona esta vulnerabilidad.

Detalle:

Un atacante remoto no autorizado podría ser capaz de inyectar código arbitrario. Se ha asignado el identificador CVE-2018-17904 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-298-01) GEOVAP Reliance 4 SCADA/HM

Etiquetas:

Actualización

SCADA

Vulnerabilidad

Accesos corporativos

Cross-site scripting en Reliance 4 SCADA/HMI de GEOVAP

Vulnerabilidad en Fuji Electric V-Server Lite

Múltiples vulnerabilidades en FactoryTalk Linx de Rockwell Automation

Consumo de recursos no controlado en Mitsubishi Electric MELSEC iQ-R series

Múliples vulnerabilidades en varios productos de Endress+Hauser

Vulnerabilidad de escalada de privilegios en TwinCAT System Tray de Beckhoff