Inicio / Alerta Temprana / Avisos Sci / Divulgación de información en ISaGRAF de Rockwell Automation

Divulgación de información en ISaGRAF de Rockwell Automation

Fecha de publicación: 
10/05/2022
Importancia: 
3 - Media
Recursos afectados: 
  • ISaGRAF
Descripción: 

Kimiya, trabajando junto a Trend Micro Zero’s Day Initiative, ha reportado esta vulnerabilidad que podría permitir a un atacante remoto revelar información sensible en las instalaciones afectadas de Rockwell Automation ISaGRAF.

Solución: 

Dada la naturaleza de las vulnerabilidades, la única estrategia de mitigación consiste en restringir la interacción con la aplicación.

Detalle: 

La restricción inadecuada de las referencias a entidades externas XML (XXE), en el procesamiento de archivos isasln, podría permitir a un atacante revelar información en el contexto del proceso actual, mediante un documento especialmente diseñado con una URI específica a la que el analizador XML accede e incrusta el contenido de nuevo en el documento XML para su posterior procesamiento.

Encuesta valoración