Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en PI ProcessBook, PI ActiveView y PI Coresight de OSIsoft

Múltiples vulnerabilidades en PI ProcessBook, PI ActiveView y PI Coresight de OSIsoft

Fecha de publicación: 
12/07/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • PI ProcessBook 2015 R2 versiones 3.6.0 y anteriores.
  • PI ActiveView 2015 R2 versiones 3.6.0 y anteriores.
  • PI Coresight 2016 R2 y anteriores.
Descripción: 

OSIsoft ha identificado varias vulnerabilidades en algunos de sus productos. Un atacante remoto podría aprovecharse de alguna de estas vulnerabilidades para acceder a código de forma aleatoria o realizar un ataque CSRF (Cross-Site Request Forgery).

Solución: 

El fabricante OSIsoft dispone de las actualizaciones PI ProcessBook 2015 R2 SP1 (3.6.1), PI ActiveView 2015 R2 SP1 (3.6.1) y PI Vision 2017 que corrigen estas vulnerabilidades. Existe un componente de Visual Basic for Applications 6.5 implicado en una de las vulnerabilidades que debe tratarse de manera particular si existen otras aplicaciones que lo utilicen, ya que la actualización de este componente a su versión 7.1 por el parche de OSIsoft, puede no afectar a otras aplicaciones.

Detalle: 
  • Los productos PI ProcessBook y PI ActiveView utilizan un componente de terceros, Visual Basic for Applications 6.5, que contiene una vulnerabilidad que podría permitir a un atacante remoto acceder a código arbitrario.
  • El producto PI Coresight 2016 R2 contiene una vulnerabilidad que permitiría realizar un ataque de tipo CSRF, un atacante podría aprovechar una sesión activa de un usuario para realizar peticiones desde otro lugar al servidor como si fuera el usuario autorizado.
Etiquetas: