Vulnerabilidad Cross-Site Scripting en Niagara de Tridium

Fecha de publicación:

11/01/2019

Importancia:

3 - Media

Recursos afectados:

Niagara Enterprise Security 2.3u1, todas las versiones anteriores a 2.3.118.6
Niagara AX 3.8u4, todas las versiones anteriores a 3.8.401.1
Niagara 4.4u2, todas las versiones anteriores a 4.4.93.40.2
Niagara 4.6, todas las versiones anteriores a 4.6.96.28.4

Descripción:

Los investigadores Daniel Santos y Elisa Constante, de SecurityMatters, han reportado una vulnerabilidad del tipo Cross-Site Scripting que afecta a los dispositivos Niagara de Tridium. Un atacante autenticado podría inyectar código en páginas web afectando a la confidencialidad.

Solución:

Tridium ha puesto a disposición de sus usuarios registrados actualizaciones específicas en función de los productos afectados. Pueden descargar las actualizaciones a través de los siguientes enlaces:

Detalle:

Un atacante remoto podría inyectar scripts en la parte de cliente de la página web, pudiendo ser visualizados por otros usuarios. Se ha reservado el identificador CVE-2018-18985 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-333-02) Tridium Niagara Enterprise Security, Niagara AX, and Niagara 4

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Vulnerabilidad Cross-Site Scripting en Niagara de Tridium

Múltiples vulnerabilidades en móviles ecom de PEPPERL+FUCHS

Vulnerabilidad de elemento de ruta de búsqueda no controlado en Sentinel UltraPro de Gemalto

Verificación inadecuada de condiciones inusuales en Triconex TriStation Emulator de Schneider Electric

Múltiples vulnerabilidades en productos de Schneider Electric

Aislamiento inadecuado de puerto espejo en Scalance X de Siemens