Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad de XSS en Nordex Control 2 (NC2)

Vulnerabilidad de XSS en Nordex Control 2 (NC2)

Fecha de publicación: 
31/10/2014
Importancia: 
4 - Alta
Recursos afectados: 
Despliegues de Nordex Control 2 (NC2) SCADA v16 y versiones anteriores
Descripción: 
NC2 es un SCADA basado en web utilizado para la monitorización de plantas de producción eólicas utilizado principalmente en USA, Europa y China.
Solución: 
Nordex publicará un parche para todas las versiones afectadas. La actualización debe realizarla Nordex. Nordex contactará con aquellos clientes con contratos de servicio en vigor para realizar la actualización sin alterar sus dinámicas operacionales. En caso de no tener un contrato en vigor, el parche puede ser solicitado contactando con su oficina local de Nordex.
Detalle: 
La vulnerabilidad permite la ejecución de un ataque de Cross-Site Scripting Reflejado al no validar el parámetro "username" en el envío del inicio de sesión. Esto puede permitir al atacante la ejecución de código arbitrario en el navegador del usuario aprovechándose de la relación de confianza entre su navegador y el servidor. El impacto en las organizaciones depende de varios factores, por lo que lo recomendable es que cada organización evalúe el impacto basándose en su entorno de operaciones, arquitectura y despliegue. Se ha reservado para esta vulnerabilidad el CVE-2014-5408