Inicio / Alerta Temprana / Avisos Sci / XSS en el controlador Tracer SC de Trane

XSS en el controlador Tracer SC de Trane

Fecha de publicación: 
20/10/2021
Importancia: 
3 - Media
Recursos afectados: 

Tracer SC, versión de firmware 3.8 y anteriores.

Descripción: 

El investigador, Chizuru Toyama, de Trend Micro, ha reportado al CISA una vulnerabilidad de severidad media que podría permitir a un atacante remoto redirigir a un usuario a una página web maliciosa y robar sus cookies.

Solución: 

Actualizar a la versión 4.4SP7 o posterior.

Otra solución es migrar al controlador Tracer SC+, ya que el fabricante indica que el ciclo de vida de Tracer SC finaliza el 31 de diciembre de 2022.

Detalle: 

La aplicación web del producto afectado neutraliza incorrectamente la entrada durante la generación de una página web, lo que podría permitir a un atacante realizar XSS e inyectar código. Se ha asignado el identificador CVE-2021-42534 para esta vulnerabilidad.

Encuesta valoración