Inicio / Alerta Temprana / Avisos Sci / Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Fecha de publicación: 
07/12/2018
Importancia: 
4 - Alta
Recursos afectados: 

Cimplicity versiones 9.0 R2, 9.5 y 10.0

Descripción: 

El investigador Vladimir Dashchenko de Kaspersky Lab ha reportado una vulnerabilidad del tipo restricción insuficiente en referencias de entidad externa XML en Proficy GDS de General Electric que podría permitir a un atacante iniciar una sesión OPC UA y recuperar algún archivo del sistema objetivo.

Solución: 
  • GE aconseja a los clientes actualizar a la versión 2.1 o superior.
Detalle: 
  • La restricción inadecuada de referencias XXE (XML External Entity) podría permitir, mediante inyecciones XXE, llegar a una ruta dentro del servidor Proficy, iniciar una sesión de OPC UA y recuperar archivos del sistema objetivo. Se ha asignado el identificador CVE-2018-15362 para esta vulnerabilidad.

Encuesta valoración