Cross-site scripting erako ahultasuna PSI GridConnect GmbH-ren gailuetan

Argitalpen data: 2019/03/01

Garrantzia: Handia

Kaltetutako baliabideak:

  • Telecontrol Gateway 3G, 4.2.21, 5.0.27, 6.0.16 eta lehenagoko bertsioak
  • Telecontrol Gateway XS-MU, 4.2.21, 5.0.27, 5.1.19, 6.0.16 eta lehenagoko bertsioak
  • Telecontrol Gateway VM, 4.2.21, 5.0.27, 5.1.19, 6.0.16 eta lehenagoko bertsioak
  • Smart Telecontrol Unit TCG, 5.0.27, 5.1.19, 6.0.16 eta lehenagoko bertsioak
  • IEC104 Security Proxy, 2.2.10 eta lehenagoko bertsioak

Azalpena:

Can Kurnaz ikertzaileak cross-site scripting (XSS) erako ahultasun bat aurkitu du, PSI GridConnect GmbH-ren hainbat gailuri eragiten diena. Hori baliatuz erasotzaile batek kodea exekuta lezake arbitrarioki xede duen aplikazioan.

Konponbidea:

  • PSIk erabiltzaileei aholkatzen die 5.1.20, 6.0.17 bertsioetara eta IEC104 Security Proxy 2.2.11 bertsiora eguneratzea.
  • 4.2.x eta 5.0.x bertsioek ez dute zerbitzurik izango

Xehetasuna:

  • Web orria sortzean HTML, JavaScript edo VBScript sarreren neutralizazio desegoki baten ondorioz gertatzen den cross-site scripting erako ahultasun bat baliatuz, erasotzaile batek kodea exekuta lezake modu arbitrarioan. Ahultasun horretarako CVE-2019-6528 identifikatzailea erabili da.

Etiketak: Eguneraketa, Ahultasuna