Restricción indebida de referencias XXE en CASE Suite de Fr. Sauter AG

Fecha de publicación:

02/11/2018

Importancia:

4 - Alta

Recursos afectados:

CASE Suite versión 3.10 y anteriores

Descripción:

El investigador Gjoko Krstic de Applied Risk ha identificado una vulnerabilidad del tipo restricción indebida de referencias XXE (XML External Entity) que podría permitir a un atacante remoto conseguir archivos sin autorización.

Solución:

Fr. Sauter AG aconseja utilizar Service Release 1 para los dispositivos que tengan CASE Suite versión 3.10 o anteriores. El software se encuentra disponible mediante los canales locales de soporte.

Detalle:

Existe una vulnerabilidad de restricción incorrecta de referencias XXE (XML External Entity) a la hora de procesar los parámetros de identidades XML que podría permitir la divulgación de ficheros de manera remota. Se ha asignado el identificador CVE-2018-17912 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-305-04) Fr. Sauter AG CASE Suite

AVEVA Security Bulletin LFSEC00000130

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Restricción indebida de referencias XXE en CASE Suite de Fr. Sauter AG

Consumo de recursos no controlado en Mitsubishi Electric MELSEC iQ-R series

Múliples vulnerabilidades en varios productos de Endress+Hauser

Vulnerabilidad de escalada de privilegios en TwinCAT System Tray de Beckhoff

Vulnerabilidad de desbordamiento de búfer en EtherNet/IP de Real Time Automation (RTA)

Verificación de autorización inadecuada en victor Web Client de Johnson Controls