Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Fecha de publicación: 07/12/2018

Importancia: Alta

Recursos afectados:

Cimplicity versiones 9.0 R2, 9.5 y 10.0

Descripción:

El investigador Vladimir Dashchenko de Kaspersky Lab ha reportado una vulnerabilidad del tipo restricción insuficiente en referencias de entidad externa XML en Proficy GDS de General Electric que podría permitir a un atacante iniciar una sesión OPC UA y recuperar algún archivo del sistema objetivo.

Solución:

  • GE aconseja a los clientes actualizar a la versión 2.1 o superior.

Detalle:

  • La restricción inadecuada de referencias XXE (XML External Entity) podría permitir, mediante inyecciones XXE, llegar a una ruta dentro del servidor Proficy, iniciar una sesión de OPC UA y recuperar archivos del sistema objetivo. Se ha asignado el identificador CVE-2018-15362 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad