Inicio / Alerta Temprana / Avisos Sci / Inyección XML en Wonderware Historian Client de Schneider Electric

Inyección XML en Wonderware Historian Client de Schneider Electric

Fecha de publicación: 
02/05/2017
Importancia: 
3 - Media
Recursos afectados: 
  • Wonderware Historian Client 2014 R2 SP1 y versiones anteriores.
Descripción: 

El investigador Andrey Zhukov de USSC ha descubierto una vulnerabilidad de tipo inyección XML, que afecta al producto Wonderware Historian Client de Schneider Electric. Un potencial atacante local podría aprovecharse de esta vulnerabilidad para causar una denegación de servicio en el dispositivo o la obtención de ficheros locales.

Solución: 

Schneider Electric ha publicado una actualización de software para Wonderware Historian Client 2014 R2 SP1.

Los clientes que utilizan la versión  Wonderware 2014 R2 SP1 pueden aplicar el parche. Los clientes que utilizan versiones anteriores, deben actualizarse previamente a la versión Wonderware 2014 R2 SP1.

Detalle: 

El módulo aaTrend de Wonderware Historian Client permite diferentes visualizaciones y tendencias de datos históricos almacenados. La configuración de las diferentes visualizaciones de aaTrend son almacenadas en formato XML. Cuando aaTrend.exe analiza/carga un fichero de configuración para una visualización particular, es susceptible a ataques de inyección XML. Un usuario legítimo tiene que ser obligado o engañado para utilizar este tipo de ficheros XML modificados.