Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos SpiderControl

Múltiples vulnerabilidades en productos SpiderControl

Fecha de publicación: 
23/08/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • SpiderControl SCADA MicroBrowser versión 1.6.30.144 y anteriores
  • SpiderControl SCADA Web Server
Descripción: 

El investigador de seguridad  Karn Ganeshen de Trend Micro’s Zero Day Initiative (ZDI) ha descubierto dos vulnerabilidades, una de desbordamiento de búfer basado en pila, de severidad alta, y otra de salto de directorio. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto el acceso al sistema, la manipulación no autorizada de archivos o la provocación de una condición de denegación de servicio.

Solución: 

El fabricante ha desarrollado nuevas versiones del producto afectado que mitigan las vulnerabilidades citadas:

  • SpiderControl SCADA MicroBrowser: descargar la versión 1.6.40.148
  • SpiderControl SCADA Web Server: descargar la versión 2.02.0100
Detalle: 
  • Vulnerabilidad de desbordamiento de búfer basado en pila en SpiderControl SCADA MicroBrowser. La apertura de un archivo html creado con fines malintencionados puede provocar un desbordamiento de la pila. Se ha reservado el identificador CVE-2017-12707 para esta vulnerabilidad.
  • Vulnerabilidad de salto de directorio en SpiderControl SCADA Web Server. Un atacante puede utilizar una simple solicitud GET para realizar un salto de directorio y poder así leer archivos del sistema. Se ha reservado el identificador CVE-2017-12694 para esta vulnerabilidad.