Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos AVEVA

Múltiples vulnerabilidades en productos AVEVA

Fecha de publicación: 
01/08/2018
Importancia: 
5 - Crítica
Recursos afectados: 
  • Wonderware License Server versión v4.0.13100 y anteriores (hace uso de Flexara Imgrd versión 11.13.1.1 y anteriores). Solo los usuarios con la característica Counted Licenses con “ArchestrAServer.lic” están afectados.
  • InTouch Access Anywhere 2017 Update 2 y anteriores. Las versiones vulnerables de jQuery son aquellas anteriores a la versión 3.0.0.
Descripción: 

Security Team de Google y un investigador anónimo han identificado varias vulnerabilidades de tipo neutralización inapropiada de los datos de entrada y restricción inadecuada en los límites del búfer de memoria en productos de AVEVA. Un potencial atacante podría obtener información sensible, ejecutar código Javascript y HTML o código remoto con privilegios de administrador.

Solución: 

AVEVA recomienda a los usuario afectados instalar los parches “InTouch Access Anywhere 2017 Update 2b” y "Hotfix Wonderware License Server VU-485744” o posteriores, según el producto afectado.

Detalle: 
  • Restricción inadecuada en los límites del búfer de memoria: un desbordamiento de búfer en lmgrd y el demonio del vendedor de Flexera FlexNet Publisher podría permitir a un atacante remoto la ejecución de código arbitrario mediante un paquete manipulado, permitiendo la ejecución de código remoto con privilegios de administrador. Se ha asignado el identificador CVE-2015-8277 para esta vulnerabilidad.
  • Neutralización inadecuada de los datos de entrada durante la generación de la página web (cross-site-scripting): la librería jQuery es vulnerable a ataques cross-site scripting (XSS) cuando una petición Ajax de dominio cruzado es realizada sin la opción dataType, lo que provoca que se ejecuten respuestas de texto/javascript. Se ha asignado el identificador CVE-2015-9251 para esta vulnerabilidad.

Encuesta valoración