Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en e!DISPLAY de WAGO

Múltiples vulnerabilidades en e!DISPLAY de WAGO

Fecha de publicación: 
11/07/2018
Importancia: 
4 - Alta
Recursos afectados: 
  • WAGO e!DISPLAY 762-3000
  • WAGO e!DISPLAY 762-3001
  • WAGO e!DISPLAY 762-3002
  • WAGO e!DISPLAY 762-3003
Descripción: 

El investigador T. Weber de SEC-Consult ha identificado múltiples vulnerabilidades de los tipos XSS, validación incorrecta de parámetros de entrada y gestión incorrecta de permisos. Un atacante podría aprovechar estas vulnerabilidades para ejecutar código arbitrario en el contexto del usuario, reemplazar ficheros existentes o inyectar código persistente.

Solución: 

WAGO recomienda actualizar a la última versión del firmware (FW02). En caso de no ser posible la actualización, el fabricante aconseja limitar los accesos a usuarios y dispositivos confiables.
Para más detalle sobre cómo obtener el nuevo firmware, deberá ponerse en contacto con el equipo de soporte del fabricante

Detalle: 
  • Una vulnerabilidad debida a una incorrecta neutralización de entradas durante la generación de la página Web (XSS), podría permitir a un atacante, con o sin autenticación, enviar peticiones especialmente diseñadas para inyectar código en el WBM. Este código malicioso sería renderizado o ejecutado en el navegador del usuario final. Se ha reservado el identificador CVE-2018-12981 para esta vulnerabilidad.
  • Una vulnerabilidad debida a una restricción inadecuada en la carga de tipos de ficheros peligrosos, podría permitir a un atacante autenticado, subir ficheros arbitrarios en el sistema de archivos con los permisos del servidor web. Se ha reservado el identificador CVE-2018-12980 para esta vulnerabilidad.
  • Una vulnerabilidad debida a una incorrecta asignación de permisos para los recursos críticos, podría permitir a un atacante sobrescribir ficheros críticos del sistema, aprovechándose de la vulnerabilidad anteriormente descrita. Se ha reservado el identificador CVE-2018-12979 para esta vulnerabilidad.

Encuesta valoración

Etiquetas: