Vulnerabilidad Cross-Site Scripting en Niagara de Tridium

Fecha de publicación:

11/01/2019

Importancia:

3 - Media

Recursos afectados:

Niagara Enterprise Security 2.3u1, todas las versiones anteriores a 2.3.118.6
Niagara AX 3.8u4, todas las versiones anteriores a 3.8.401.1
Niagara 4.4u2, todas las versiones anteriores a 4.4.93.40.2
Niagara 4.6, todas las versiones anteriores a 4.6.96.28.4

Descripción:

Los investigadores Daniel Santos y Elisa Constante, de SecurityMatters, han reportado una vulnerabilidad del tipo Cross-Site Scripting que afecta a los dispositivos Niagara de Tridium. Un atacante autenticado podría inyectar código en páginas web afectando a la confidencialidad.

Solución:

Tridium ha puesto a disposición de sus usuarios registrados actualizaciones específicas en función de los productos afectados. Pueden descargar las actualizaciones a través de los siguientes enlaces:

Detalle:

Un atacante remoto podría inyectar scripts en la parte de cliente de la página web, pudiendo ser visualizados por otros usuarios. Se ha reservado el identificador CVE-2018-18985 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-333-02) Tridium Niagara Enterprise Security, Niagara AX, and Niagara 4

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Vulnerabilidad Cross-Site Scripting en Niagara de Tridium

Múltiples vulnerabilidades en Automation Worx Software Suite de Phoenix Contact

Vulnerabilidades de desbordamiento de búfer en WebAccess de Advantech

Múltiples vulnerabilidades en Alaris Gateway Workstation de BD (Becton, Dickinson and Company)

Autorización inapropiada en ESM de Johnson Controls

Múltiples vulnerabilidades en WAGO 852 Industrial Managed Switch