Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Inductive Automation Ignition

Múltiples vulnerabilidades en Inductive Automation Ignition

Fecha de publicación: 
01/04/2015
Importancia: 
4 - Alta
Recursos afectados: 

Inductive Automation Ignition 7.7.2.

Descripción: 

Investigadores de Positive Technologies han descubierto varias vulnerabilidades en el software Ignition (Inductive Automation) que pueden ser explotadas de forma remota.

Solución: 

Inductive Automation ha desarrollado un parche que resuelve estas vulnerabilidades. Puede obtenerse en su página Web.

Detalle: 

Las vulnerabilidades detectadas, son:

  • Un atacante puede conseguir ejecutar código debido a una vulnerabilidad XSS. Se ha reservado el identificador CVE-2015-0976.
  • Se ha detectado un mensaje de error que podría revelar información sensible. Se ha reservado el identificador CVE-2015-0991.
  • Los credenciales de OPC Server son almacenados en claro. Se ha reservado el identificador CVE-2015-0992.
  • Un atacante puede reutilizar la sesión de un usuario que haya cerrado sesión, ya que ésta no se elimina correctamente. Se ha reservado el identificador CVE-2015-0993.
  • El mecanismo de prevención de ataques de fuerza bruta puede evadirse reseteando el identificador de sesión HTTP. Se ha reservado el identificador CVE-2015-0994.
  • El almacenamiento de contraseñas para usuarios por defecto en Windows y Linux se realiza con MD5, que es un algoritmo de hashing criptográfico considerado inseguro y vulnerable a ataques de fuerza bruta. Se ha reservado el identificador CVE-2015-0995.