Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Distributed Data Systems WebHMI

Múltiples vulnerabilidades en Distributed Data Systems WebHMI

Fecha de publicación: 
01/07/2022
Identificador: 
INCIBE-2022-0818
Importancia: 
5 - Crítica
Recursos afectados: 

Distributed Data Systems WebHMI, versión 4.1.1.7662.

Descripción: 

El investigador Antonio Cuomo ha reportado varias vulnerabilidades en Distributed Data Systems WebHMI que permitirían a un atacante ejecutar comandos arbitrarios del sistema operativo o realizar ataques Cross-site Scripting almacenados.

Solución: 

Se recomienda contactar con Distributed Data Systems para conocer las mitigaciones para estas vulnerabilidades.

Adicionalmente CISA recomienda las siguientes medidas de mitigación:

  • Minimice la exposición de la red para todos los dispositivos, en especial desde Internet.
  • Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls, y separados de la red empresarial.
  • Cuando se requiera acceso remoto, utilice métodos seguros, como redes privadas virtuales (VPN).
Detalle: 

Las vulnerabilidades encontradas en Distributed Data Systems WebHMI permitirían a un usuario con privilegios administrativos en el sistema almacenar un script y ejecutar un ataque de Cross-site Scripting (XSS) que podría afectar a otros usuarios del sistema o enviar comandos del sistema operativo para ejecutarlos en el servidor host. Se han asignado los identificadores CVE-2022-2254 y CVE-2022-2253 para estas vulnerabilidades.

Encuesta valoración