Vulnerabilidad XSS en CKS CEVAS

Fecha de publicación:

26/10/2022

Identificador:

INCIBE-2022-0989

Importancia:

5 - Crítica

Recursos afectados:

CEVAS, todas las versiones anteriores a 1.01.46.

Descripción:

Christian Vierschilling y Caroline Moesler han reportado una vulnerabilidad de severidad crítica que podría permitir a un usuario eludir la autenticación y recuperar datos con consultas SQL maliciosas.

Solución:

Johnson Controls recomienda actualizar CEVAS a la versión 1.01.46 poniéndose en contacto con CKS (subsidiaria de Johnson Controls) para obtener ayuda.

Detalle:

El producto afectado, todas las versiones de CKS CEVAS anteriores a la 1.01.46, es vulnerable al Cross-Site Scripting, lo que podría permitir a un atacante recuperar datos con consultas SQL maliciosas. Se ha asignado el identificador CVE-2021-36206 para esta vulnerabilidad.

Referencias:

ICS Advisory (ICSA-22-298-05 ) Johnson Controls CKS CEVAS

JCI-PSA-2022-15

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Vulnerabilidad XSS en CKS CEVAS

Múltiples vulnerabilidades en productos de Delta Electronics

Inyección de comandos en dispositivos Nova de Baicells Technologies

Múltiples vulnerabilidades en dispositivos SDS-3008 Series de Moxa

Múltiples vulnerabilidades en Delta Electronics DOPSoft

Múltiples vulnerabilidades en productos de Rockwell Automation