Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad XSS en productos WAGO

Vulnerabilidad XSS en productos WAGO

Fecha de publicación: 
10/03/2022
Importancia: 
3 - Media
Recursos afectados: 

Versiones de firmware desde la 16 hasta la 22 (no incluida) de los productos:

  • Compact Controller CC100,
  • Edge Controller,
  • Series PFC100,
  • Series PFC200,
  • Series Touch Panel 600 Advanced Line,
  • Series Touch Panel 600 Marine Line,
  • Series Touch Panel 600 Standard Line.
Descripción: 

El investigador Mohamed Magdy Abumuslim ha reportado al fabricante WAGO, coordinados por el CERT@VDE, una vulnerabilidad de severidad media y tipo XSS, que afecta a varios dispositivos.

Solución: 

Instalar la próxima actualización de firmware, que estará disponible a finales del segundo trimestre de 2022.

Hasta entonces, aplicar las medidas de mitigación:

  • restringir el acceso a la red del dispositivo,
  • utilizar credenciales seguras,
  • no conectar directamente el dispositivo a Internet,
  • deshabilitar los puertos TCP/UDP no usados.
Detalle: 

Varias páginas de configuración de Web-Based Management (WBM) son vulnerables a ataques de XSS (Cross-Site Scripting) reflejado. Un atacante, que disponga de un inicio de sesión autorizado en el dispositivo con privilegios de usuario, podría obtener acceso a información confidencial en un dispositivo que se conecte al WBM después de haber sido comprometido. Se ha asignado el identificador CVE-2022-22511 para esta vulnerabilidad.

Encuesta valoración