Múltiples vulnerabilidades en Inductive Automation Ignition
Fecha de publicación:
01/04/2015
Importancia:
4 -
Alta
Recursos afectados:
Inductive Automation Ignition 7.7.2.
Descripción:
Investigadores de Positive Technologies han descubierto varias vulnerabilidades en el software Ignition (Inductive Automation) que pueden ser explotadas de forma remota.
Solución:
Inductive Automation ha desarrollado un parche que resuelve estas vulnerabilidades. Puede obtenerse en su página Web.
Detalle:
Las vulnerabilidades detectadas, son:
- Un atacante puede conseguir ejecutar código debido a una vulnerabilidad XSS. Se ha reservado el identificador CVE-2015-0976.
- Se ha detectado un mensaje de error que podría revelar información sensible. Se ha reservado el identificador CVE-2015-0991.
- Los credenciales de OPC Server son almacenados en claro. Se ha reservado el identificador CVE-2015-0992.
- Un atacante puede reutilizar la sesión de un usuario que haya cerrado sesión, ya que ésta no se elimina correctamente. Se ha reservado el identificador CVE-2015-0993.
- El mecanismo de prevención de ataques de fuerza bruta puede evadirse reseteando el identificador de sesión HTTP. Se ha reservado el identificador CVE-2015-0994.
- El almacenamiento de contraseñas para usuarios por defecto en Windows y Linux se realiza con MD5, que es un algoritmo de hashing criptográfico considerado inseguro y vulnerable a ataques de fuerza bruta. Se ha reservado el identificador CVE-2015-0995.
Etiquetas: