Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE
Fecha de publicación:
07/12/2018
Importancia:
4 -
Alta
Recursos afectados:
Cimplicity versiones 9.0 R2, 9.5 y 10.0
Descripción:
El investigador Vladimir Dashchenko de Kaspersky Lab ha reportado una vulnerabilidad del tipo restricción insuficiente en referencias de entidad externa XML en Proficy GDS de General Electric que podría permitir a un atacante iniciar una sesión OPC UA y recuperar algún archivo del sistema objetivo.
Solución:
- GE aconseja a los clientes actualizar a la versión 2.1 o superior.
Detalle:
- La restricción inadecuada de referencias XXE (XML External Entity) podría permitir, mediante inyecciones XXE, llegar a una ruta dentro del servidor Proficy, iniciar una sesión de OPC UA y recuperar archivos del sistema objetivo. Se ha asignado el identificador CVE-2018-15362 para esta vulnerabilidad.
Referencias:
Etiquetas: