Inicio / Content / Boletín de INCIBE-CERT del 05-03-2021

Boletín de INCIBE-CERT del 05-03-2021

Múltiples vulnerabilidades en productos 1734-AENTR de Rockwell Automation

Fecha de publicación: 
05/03/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • 1734-AENTR Series B, versiones de la 4.001 a la 4.005, y de la 5.011 a la 5.017;
  • 1734-AENTR Series C, versiones 6.011 y 6.012.
Descripción: 

El investigador Adam Eliot, de Loon Security Team, ha reportado a Rockwell Automation 2 vulnerabilidades, una de severidad alta y otra de severidad media, que podrían permitir a un atacante remoto modificar datos de forma no autorizada en los dispositivos.

Solución: 

Actualizar el firmware de:

  • 1734-AENTR Series B a la versión 5.018;
  • 1734-AENTR Series C a la versión 6.013.

Para una información más detallada, consultar la web del fabricante.

Detalle: 
  • Una vulnerabilidad de control de acceso inapropiado para solicitudes HTTP POST podría permitir a un atacante remoto y no autenticado enviar una solicitud, especialmente diseñada, que posibilitase la modificación de los ajustes de configuración del equipo. Se ha asignado el identificador CVE-2020-14504 para esta vulnerabilidad.
  • Una vulnerabilidad de XSS (Cross Site Scripting) almacenado podría permitir a un atacante remoto y no autenticado almacenar un script malicioso dentro de la interfaz web, que al ejecutarse modificase valores de cadena en la página de inicio de la interfaz web. Se ha asignado el identificador CVE-2020-14502 para esta vulnerabilidad.

Encuesta valoración