Vulnerabilidad Cross-Site Scripting en Niagara de Tridium

Fecha de publicación:

11/01/2019

Importancia:

3 - Media

Recursos afectados:

Niagara Enterprise Security 2.3u1, todas las versiones anteriores a 2.3.118.6
Niagara AX 3.8u4, todas las versiones anteriores a 3.8.401.1
Niagara 4.4u2, todas las versiones anteriores a 4.4.93.40.2
Niagara 4.6, todas las versiones anteriores a 4.6.96.28.4

Descripción:

Los investigadores Daniel Santos y Elisa Constante, de SecurityMatters, han reportado una vulnerabilidad del tipo Cross-Site Scripting que afecta a los dispositivos Niagara de Tridium. Un atacante autenticado podría inyectar código en páginas web afectando a la confidencialidad.

Solución:

Tridium ha puesto a disposición de sus usuarios registrados actualizaciones específicas en función de los productos afectados. Pueden descargar las actualizaciones a través de los siguientes enlaces:

Detalle:

Un atacante remoto podría inyectar scripts en la parte de cliente de la página web, pudiendo ser visualizados por otros usuarios. Se ha reservado el identificador CVE-2018-18985 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-333-02) Tridium Niagara Enterprise Security, Niagara AX, and Niagara 4

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Vulnerabilidad Cross-Site Scripting en Niagara de Tridium

Múltiples vulnerabilidades en varios productos de General Electric

Múltiples vulnerabilidades en productos MB connect line

Múltiples vulnerabilidades en Philips Clinical Collaboration Platform

Múltiples vulnerabilidades en CodeMeter de Wibu Systems

Vulnerabilidad en WebAccess Node de Advantech