Inyección arbitraria de código en Reliance SCADA

Fecha de publicación:

01/12/2017

Importancia:

3 - Media

Recursos afectados:

Reliance SCADA versión 4.7.3 actualización 2 y anteriores.

Descripción:

El investigador Can Demirel ha reportado una vulnerabilidad del tipo Cross-site Scripting (XSS) que podría permitir a un atacante la inyección de código arbitrario.

Solución:

Geovap ha publicado la versión 4.7.3 actualización 3 del software que corrige esta vulnerabilidad y que puede descargarse en el siguiente enlace: 4.7.3, Update 3

Detalle:

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante no autenticado inyectar código JavaScript arbitrario en una solicitud de URL especialmente manipulada la cual puede permitir el acceso de lectura/escritura. Se ha reservado el identificador CVE-2017-16721.

Referencias:

Geovap Reliance SCADA

4.7.3, Update 3

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Inyección arbitraria de código en Reliance SCADA

Vulnerabilidad en Fuji Electric V-Server Lite

Múltiples vulnerabilidades en FactoryTalk Linx de Rockwell Automation

Consumo de recursos no controlado en Mitsubishi Electric MELSEC iQ-R series

Múliples vulnerabilidades en varios productos de Endress+Hauser

Vulnerabilidad de escalada de privilegios en TwinCAT System Tray de Beckhoff