Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidades en Schneider Electric Wonderware

Vulnerabilidades en Schneider Electric Wonderware

Fecha de publicación: 
27/08/2014
Importancia: 
4 - Alta
Recursos afectados: 
  • Wonderware Information Server 4.0 SP1 Portal
  • Wonderware Information Server 4.5 Portal
  • Wonderware Information Server 5.0 Portal
  • Wonderware Information Server 5.5 Portal
Descripción: 

Se han descubierto diversas vulnerabilidades que afectan a la aplicación web de Wonderware Information Server, y que podrían derivar en robos de credenciales, ejecución de código de forma remota y fugas de información

Solución: 

Actualizar a WIS versión 5.5 y aplicar el parche de seguridad proporcionado por Schneider Electric.

Detalle: 

Cross-site scripting (CVE-2014-5397)

No se valida, filtra o codifica la entrada de usuario antes de volver al interface web.


Validación de entrada incorrecta (CVE-2014-5398)

Utilizando determinados ficheros XML malformados, un atacante puede causar una denegación de servicio, o enviar archivos locales a un servidor remoto.


Inyección SQL (CVE-2014-5399)

WIS es vulnerable a inyección SQL, que puede ser utilizada para comprometer la base de datos o para ejecutar código de forma remota.