Múltiples vulnerabilidades en xArrow SCADA

Fecha de publicación:

18/08/2021

Importancia:

3 - Media

Recursos afectados:

xArrow SCADA/HMI, versión 7.2 y anteriores.

Descripción:

Sharon Brizinov, de Claroty, y Michael Heinzl han reportado al CISA tres vulnerabilidades de severidad media que podrían permitir a un atacante la ejecución remota de código.

Solución:

Contactar con el fabricante a través de su sitio web.

Detalle:

Una vulnerabilidad de tipo XSS, debida al parámetro “edate” del recurso “xhisalarm.htm”; otra de tipo XSS, debida al parámetro “bdate” del recurso “xhisvalue.htm”; y otra de validación incorrecta de entrada, podrían permitir a un atacante no autenticado la ejecución remota de código arbitrario. Se han asignado los identificadores CVE-2021-33021, CVE-2021-33001 y CVE-2021-33025 para estas vulnerabilidades.

Referencias:

ICS Advisory (ICSA-21-229-03) xArrow SCADA

Etiquetas:

Infraestructuras críticas

SCADA

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en xArrow SCADA

Múltiples vulnerabilidades en productos PILZ

Vulnerabilidad en productos EcoStruxure y SCADAPack de Schneider Electric

Múltiples vulnerabilidades en productos MGate y MXview de Moxa

Evasión de autenticación en controladores KT-1 de Johnson Controls

Múltiples vulnerabilidades en productos Schneider Electric