Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en el SCADA atvise de Certec EDV GmbH

Múltiples vulnerabilidades en el SCADA atvise de Certec EDV GmbH

Fecha de publicación: 
06/04/2017
Importancia: 
3 - Media
Recursos afectados: 
  • Atvise SCADA versión 3.0 y anteriores.
Descripción: 

El investigador de seguridad Sebastian Neef de Internetwache.org ha descubierto 2 vulnerabilidades, una de tipo Cross-Site Scripting (XSS) y otra de inyección de cabeceras HTTP. La explotación exitosa de estas vulnerabilidades por parte de un atacante remoto podría causar ejecuciones de código arbitrario afectando a la integridad del dispositivo.

Solución: 

El fabricante ha desarrollado una nueva versión del producto afectado (V 3.1) que mitiga las vulnerabilidades citadas.

La versión puede descargarse en el siguiente enlace.

Detalle: 

Las dos vulnerabilidades pueden ser explotadas de forma remota. Su detalle es el siguiente: 

  • Inyección de cabeceras HTTP: La aplicación no neutraliza o neutraliza de forma incorrecta la sintaxis usada en la secuencia de comando web incluidos en las cabeceras HTTP. Estas cabeceras pueden ser utilizadas por componentes del navegador web como Flash permitiendo la ejecución remota de código. Se ha reservado el identificador CVE-2017-6031 para esta vulnerabilidad.
  • Cross-Site Scripting (XSS): Un filtrado incorrecto de los parámetros introducidos en campos de la aplicación web puede ser explotada por un atacante remoto permitiendo la ejecución de código. Se ha reservado el identificador CVE-2017-6029 para esta vulnerabilidad.