Restricción indebida de referencias XXE en CASE Suite de Fr. Sauter AG

Fecha de publicación:

02/11/2018

Importancia:

4 - Alta

Recursos afectados:

CASE Suite versión 3.10 y anteriores

Descripción:

El investigador Gjoko Krstic de Applied Risk ha identificado una vulnerabilidad del tipo restricción indebida de referencias XXE (XML External Entity) que podría permitir a un atacante remoto conseguir archivos sin autorización.

Solución:

Fr. Sauter AG aconseja utilizar Service Release 1 para los dispositivos que tengan CASE Suite versión 3.10 o anteriores. El software se encuentra disponible mediante los canales locales de soporte.

Detalle:

Existe una vulnerabilidad de restricción incorrecta de referencias XXE (XML External Entity) a la hora de procesar los parámetros de identidades XML que podría permitir la divulgación de ficheros de manera remota. Se ha asignado el identificador CVE-2018-17912 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-305-04) Fr. Sauter AG CASE Suite

AVEVA Security Bulletin LFSEC00000130

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Restricción indebida de referencias XXE en CASE Suite de Fr. Sauter AG

Escritura fuera de límites en múltiples productos de Dräger

Vulnerabilidad de canal lateral en múltiples productos Bosch

Múltiples vulnerabilidades en Ellipse EAM de Hitachi ABB Power Grids

Validación de entrada incorrecta en múltiples productos de Rockwell Automation

Vulnerabilidad en fdtContainer afecta a múltiples productos de ENDRESS+HAUSER