Vulnerabilidad Cross-Site Scripting en Niagara de Tridium

Fecha de publicación:

11/01/2019

Importancia:

3 - Media

Recursos afectados:

Niagara Enterprise Security 2.3u1, todas las versiones anteriores a 2.3.118.6
Niagara AX 3.8u4, todas las versiones anteriores a 3.8.401.1
Niagara 4.4u2, todas las versiones anteriores a 4.4.93.40.2
Niagara 4.6, todas las versiones anteriores a 4.6.96.28.4

Descripción:

Los investigadores Daniel Santos y Elisa Constante, de SecurityMatters, han reportado una vulnerabilidad del tipo Cross-Site Scripting que afecta a los dispositivos Niagara de Tridium. Un atacante autenticado podría inyectar código en páginas web afectando a la confidencialidad.

Solución:

Tridium ha puesto a disposición de sus usuarios registrados actualizaciones específicas en función de los productos afectados. Pueden descargar las actualizaciones a través de los siguientes enlaces:

Detalle:

Un atacante remoto podría inyectar scripts en la parte de cliente de la página web, pudiendo ser visualizados por otros usuarios. Se ha reservado el identificador CVE-2018-18985 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-333-02) Tridium Niagara Enterprise Security, Niagara AX, and Niagara 4

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Vulnerabilidad Cross-Site Scripting en Niagara de Tridium

Desbordamiento de búfer en LeviStudioU de WECON

Credenciales protegidas inapropiadamente en las impresoras industriales de Zebra

Múltiples vulnerabilidades en ProSyst mBS SDK y IoT Gateway Software de Bosch

Múltiples vulnerabilidades en los sistemas Metasys building automation de Johnson Controls

Desbordamiento de búfer en Alpha5 Smart Loader de Fuji Electric