Inyección arbitraria de código en Reliance SCADA

Fecha de publicación:

01/12/2017

Importancia:

3 - Media

Recursos afectados:

Reliance SCADA versión 4.7.3 actualización 2 y anteriores.

Descripción:

El investigador Can Demirel ha reportado una vulnerabilidad del tipo Cross-site Scripting (XSS) que podría permitir a un atacante la inyección de código arbitrario.

Solución:

Geovap ha publicado la versión 4.7.3 actualización 3 del software que corrige esta vulnerabilidad y que puede descarganse en el siguiente enlace: 4.7.3, Update 3

Detalle:

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante no autenticado inyectar código JavaScript arbitrario en una solicitud de URL especialmente manipulada la cual puede permitir el acceso de lectura/escritura. Se ha reservado el identificador CVE-2017-16721.

Referencias:

Geovap Reliance SCADA

4.7.3, Update 3

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Inyección arbitraria de código en Reliance SCADA

Múltiples vulnerabilidades en productos CODESYS de 3S-Smart Software Solutions GmbH

Múltiples vulnerabilidades en productos Siemens

Requisitos insuficientes en la autenticación en iSite y IntelliSpace PACS de Philips

Denegación de servicio en controladores MicroLogix 1400 y módulos de comunicación EtherNet/IP 1756 ControlLogix de Rockwell Automation

Múltiples vulnerabilidades en dispositivos médicos portátiles Point of Care de Roche