Vulnerabilidad de redirección de URL en Power Monitoring Expert de Schneider Electric

Fecha de publicación:

20/12/2018

Importancia:

4 - Alta

Recursos afectados:

EcoStruxure™ Power Monitoring Expert (PME), versiones 8.2 (todas las ediciones) y 9.0
EcoStruxure™ Energy Expert (anteriormente denominado Power Manager), versiones 1.3 y 2.0
EcoStruxure™ Power SCADA Operation (PSO) Advanced Reports y Dashboards Module, versiones 8.2 y 9.0

Descripción:

El investigador Donato Onofri, de Business Integration Partners S.p.A, ha reportado una vulnerabilidad de tipo redirección de URL con la que un atacante remoto podría causar un ataque de phishing, redireccionando a un sitio malicioso.

Solución:

Para PME v8.2, Energy Expert v1.3 y PSO v8.2 Advance Reports y Dashboard Module, descargar PME 8.2 CU3. schneider-electric.box.com/v/PME82-CU3-GeneralRelease (Enlace no disponible actualmente)
Para PME v9.0, Energy Expert v2.0 y PSO v9.0 Advance Reports y Dashboard Module, descargar CU1 18328.01.

Detalle:

Un atacante remoto podría causar un ataque de phishing, redireccionando al usuario a un sitio malicioso. Se ha asignado el identificador CVE-2018-7797 para esta vulnerabilidad.

Referencias:

Security Notification – Power Monitoring Expert, Energy Expert (formerly Power Manager)

[Actualización 21/12/2018] Advisory (ICSA-18-354-02) Schneider Electric EcoStruxure

Etiquetas:

Actualización

Schneider Electric

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de redirección de URL en Power Monitoring Expert de Schneider Electric

Múltiples vulnerabilidades en MGate 5105-MB-EIP Series de Moxa

Validación de entrada incorrecta en APM Connect de GE

Vulnerabilidad XML External Entity (XEE) en Studio 5000 Logix Designer de Rockwell Automation

Múltiples vulnerabilidades en Mitsubishi Electric GOT2000

Múltiples vulnerabilidades en CIM 500 de Grundfos Pumps Corporation