Inyección arbitraria de código en Reliance SCADA

Fecha de publicación:

01/12/2017

Importancia:

3 - Media

Recursos afectados:

Reliance SCADA versión 4.7.3 actualización 2 y anteriores.

Descripción:

El investigador Can Demirel ha reportado una vulnerabilidad del tipo Cross-site Scripting (XSS) que podría permitir a un atacante la inyección de código arbitrario.

Solución:

Geovap ha publicado la versión 4.7.3 actualización 3 del software que corrige esta vulnerabilidad y que puede descargarse en el siguiente enlace: 4.7.3, Update 3

Detalle:

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante no autenticado inyectar código JavaScript arbitrario en una solicitud de URL especialmente manipulada la cual puede permitir el acceso de lectura/escritura. Se ha reservado el identificador CVE-2017-16721.

Referencias:

Geovap Reliance SCADA

4.7.3, Update 3

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Inyección arbitraria de código en Reliance SCADA

Consumo descontrolado de recursos en OPC UA Legacy Java Stack

Ejecución remota de código en producto Circutor

Denegación de servicio en MELSEC iQ-F series de Mitsubishi Electric

Múltiples vulnerabilidades en InHand Networks InRouter302

Múltiples vulnerabilidades en Cambium Networks cnMaestro