Inyección arbitraria de código en Reliance SCADA

Fecha de publicación:

01/12/2017

Importancia:

3 - Media

Recursos afectados:

Reliance SCADA versión 4.7.3 actualización 2 y anteriores.

Descripción:

El investigador Can Demirel ha reportado una vulnerabilidad del tipo Cross-site Scripting (XSS) que podría permitir a un atacante la inyección de código arbitrario.

Solución:

Geovap ha publicado la versión 4.7.3 actualización 3 del software que corrige esta vulnerabilidad y que puede descargarse en el siguiente enlace: 4.7.3, Update 3

Detalle:

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante no autenticado inyectar código JavaScript arbitrario en una solicitud de URL especialmente manipulada la cual puede permitir el acceso de lectura/escritura. Se ha reservado el identificador CVE-2017-16721.

Referencias:

Geovap Reliance SCADA

4.7.3, Update 3

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Inyección arbitraria de código en Reliance SCADA

Escritura fuera de límites en múltiples productos de Dräger

Vulnerabilidad de canal lateral en múltiples productos Bosch

Múltiples vulnerabilidades en Ellipse EAM de Hitachi ABB Power Grids

Validación de entrada incorrecta en múltiples productos de Rockwell Automation

Vulnerabilidad en fdtContainer afecta a múltiples productos de ENDRESS+HAUSER