Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad de inyección XML en la librería HART DTM

Vulnerabilidad de inyección XML en la librería HART DTM

Fecha de publicación: 
25/09/2015
Importancia: 
4 - Alta
Recursos afectados: 

No es posible realizar una lista exhaustiva de todos los productos afectados de forma individual.

Todos los productos de la familia Fieldcare que utilizan la librería HART DTM están afectados.

Descripción: 

Se ha publicado una vulnerabilidad de inyección XML en la librería HART DTM de CodeWright utilizada en los productos Fieldcare de Endress+Hauser.

Solución: 

Tanto CodeWright como Endress+Hauser han publicado su propio aviso de seguridad y los parches correspondientes para solucionar esta vulnerabilidad.

Detalle: 

Cuando un dispositivo DTM recibe un paquete HART de respuesta al comando 20, extrae la información del paquete. Esta puede contener un esquema XML, que es leído por la librería HART DTM e intenta recuperar el esquema XML o el fichero indicado en el paquete. Esto conduce a potenciales ataques SSRF u otros ataques XML.

Se ha reservado el identificador CVE-2015-6463 para esta vulnerabilidad.

Etiquetas: