Vulnerabilidad Cross-Site Scripting en Niagara de Tridium

Fecha de publicación:

11/01/2019

Importancia:

3 - Media

Recursos afectados:

Niagara Enterprise Security 2.3u1, todas las versiones anteriores a 2.3.118.6
Niagara AX 3.8u4, todas las versiones anteriores a 3.8.401.1
Niagara 4.4u2, todas las versiones anteriores a 4.4.93.40.2
Niagara 4.6, todas las versiones anteriores a 4.6.96.28.4

Descripción:

Los investigadores Daniel Santos y Elisa Constante, de SecurityMatters, han reportado una vulnerabilidad del tipo Cross-Site Scripting que afecta a los dispositivos Niagara de Tridium. Un atacante autenticado podría inyectar código en páginas web afectando a la confidencialidad.

Solución:

Tridium ha puesto a disposición de sus usuarios registrados actualizaciones específicas en función de los productos afectados. Pueden descargar las actualizaciones a través de los siguientes enlaces:

Detalle:

Un atacante remoto podría inyectar scripts en la parte de cliente de la página web, pudiendo ser visualizados por otros usuarios. Se ha reservado el identificador CVE-2018-18985 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-333-02) Tridium Niagara Enterprise Security, Niagara AX, and Niagara 4

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Vulnerabilidad Cross-Site Scripting en Niagara de Tridium

Vulnerabilidad en Device Library Wizard de ABB

Almacenamiento de información confidencial en texto claro en varios productos de Sensormatic Electronics

Vulnerabilidad en EDS Subsystem de Rockwell Automation

Múltiples vulnerabilidades en OpenEnterprise SCADA Software de Emerson

Múltiples vulnerabilidades en SoftPAC Project de Opto 22