Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Mango Automation de Infinite Automation Systems

Múltiples vulnerabilidades en Mango Automation de Infinite Automation Systems

Fecha de publicación: 
28/10/2015
Importancia: 
3 - Media
Recursos afectados: 

Los sistemas afectados son los siguientes:

  • Mango Automation, Versiones 2.5.0 a 2.6.0 beta (anteriores a la compilación 430).
  • Mango Automation, Versiones anteriores a la 2.7.0 son vulnerables a la inyección de comandos en el Sistema Operativo y al CSRF.
Descripción: 

Se han publicado múltiples vulnerabilidades en el software Mango Automation de la empresa Infinite Automation Systems identificadas por Steven Seeley de Source Incite y Gjoko Krstic de Zero Science Lab.

Solución: 

Infinite Automation Systems ha publicado la versión 2.6.0 (compilación 430) que resuelve las vulnerabilidades detectadas a excepción de la inyección de comandos en el SO y el CSRF. Se espera la publicación de una nueva versión antes de Diciembre 2015 que solucione el resto de vulnerabilidades.

Para solventar la vulnerabilidad que afecta a las versiones anteriores a la 2.7.0, Infinite Automation Systems ha publicado la versión 2.7.0 que resuleve las vulnerabilidades detectadas para estas veriones comentadas en la parte de sistemas afectados.

Detalle: 

Se han identificado las siguientes vulnerabilidades que afectan al producto y que pueden ser ejecutadas de forma remota:

Subida de archivos con formato peligroso sin restricciones: La verificación de los archivos de imagen no es adecuada, lo que permite cargar y ejecutar ficheros con scripts JSP.

Se ha reservado el CVE-2015-7904 para esta vulnerabilidad.

Inyección de comandos en el sistema operativo: Un usuario autenticado puede utilizar comandos de sistema operativo no conformados correctamente para conseguir inyectar comandos al sistema operativo o ataques CSRF.

Se ha reservado el CVE-2015-7901 para esta vulnerabilidad.

Envío de información a través de opciones de depuración

La aplicación activado por defecto las opciones de depuración, que actualiza la página pública del estado del dispositivo de manera automática cuando sucede un error, con descripción de la sesión en curso. Un potencial atacante puede enviar una URL mal formada a un usuario autenticado para provocar el error y recoger información valiosa.

Se ha reservado el CVE-2015-7900 para esta vulnerabilidad

Inyección SQL

La aplicación no verifica los comandos SQL introducidos vía peticiones HTTP.

Se ha reservado el CVE-2015-7903 para esta vulnerabilidad

CSRF

La aplicación no valida las peticiones HTTP.

Se ha reservado el CVE-2015-6493 para esta vulnerabilidad.  

XSS

La aplicación falla al comprobar las entradas solicitadas al usuario, lo que puede permitir a un atacante a ejecutar código arbitrario en el navegador.

Se ha reservado el CVE-2015-6494 para esta vulnerabilidad. 

Envío de información en negativas de acceso 

Los errores mostrados durante el fallo de autenticación de usuario muestran información que puede ser utilizada por un atacante.

Se ha reservado el CVE-2015-7902 para esta vulnerabilidad. 

Etiquetas: