Argitalpen data: 2019/03/01
Garrantzia: Handia
Kaltetutako baliabideak:
- Telecontrol Gateway 3G, 4.2.21, 5.0.27, 6.0.16 eta lehenagoko bertsioak
- Telecontrol Gateway XS-MU, 4.2.21, 5.0.27, 5.1.19, 6.0.16 eta lehenagoko bertsioak
- Telecontrol Gateway VM, 4.2.21, 5.0.27, 5.1.19, 6.0.16 eta lehenagoko bertsioak
- Smart Telecontrol Unit TCG, 5.0.27, 5.1.19, 6.0.16 eta lehenagoko bertsioak
- IEC104 Security Proxy, 2.2.10 eta lehenagoko bertsioak
Azalpena:
Can Kurnaz ikertzaileak cross-site scripting (XSS) erako ahultasun bat aurkitu du, PSI GridConnect GmbH-ren hainbat gailuri eragiten diena. Hori baliatuz erasotzaile batek kodea exekuta lezake arbitrarioki xede duen aplikazioan.
Konponbidea:
- PSIk erabiltzaileei aholkatzen die 5.1.20, 6.0.17 bertsioetara eta IEC104 Security Proxy 2.2.11 bertsiora eguneratzea.
- 4.2.x eta 5.0.x bertsioek ez dute zerbitzurik izango
Xehetasuna:
- Web orria sortzean HTML, JavaScript edo VBScript sarreren neutralizazio desegoki baten ondorioz gertatzen den cross-site scripting erako ahultasun bat baliatuz, erasotzaile batek kodea exekuta lezake modu arbitrarioan. Ahultasun horretarako CVE-2019-6528 identifikatzailea erabili da.
Etiketak: Eguneraketa, Ahultasuna