Cross-site scripting ahultasuna GEOVAPen Reliance 4 SCADA/HMI produktuan

Argitaratze-data: 2018/10/26

Garrantzia: Ertaina

Kaltetutako baliabideak:

  • Reliance 4 SCADA/HMI, 4.7.3 bertsioa, 3 eguneraketa eta aurrekoak.

Azalpena:

Ismail Mert ikertzaile independenteak sarrera-datuen neutralizazio desegokia motako ahultasun baten berri eman du (cross-site scripting). Horrek aukera emango lioke urrutiko erasotzaile bati proxy http bat erabili eta javascript kode arbitrario bat injektatzeko, http eskaera batean.

Konponbidea:

GEOVAPek 4.8 bertsioa argitaratuko du, ahultasun hori konpontzeko.

Xehetasuna:

  • Baimenik gabeko urrutiko erasotzaile batek kode arbitrario bat injektatu lezake. Ahultasun horretarako, CVE-2018-17904 identifikatzailea esleitu da.

Etiketak: Eguneratzea, SCADA, Ahultasuna