Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/12/05

Garrantzia: Handia

Kaltetutako baliabideak:

• PowerMonitor 1000

Azalpena:

Luca Chiou ikertzaileak hainbat ahultasun aurkitu ditu, sarbidearen kontrol desegokiaren eta cross-site scripting erakoak, Allen-Bradley-ren PowerMonitor 1000 produktuan. Erasotzaile batek erabiltzaile berriak sor litzake gailuan edo XSS kodea injektatu.

Konponbidea:

Ez dago konponbiderik ahultasun horietarako.

Xehetasuna:

• Sarbidearen kontrol desegokia baliatuz urruneko erasotzaile batek proxya erabil lezake gailuaren funtzioak gaitzeko. Horrela erabiltzaile berriak sor litezke. Ahultasun horretarako CVE-2018-19616 kodea erabili da.
• Erasotzaile batek XSS kodea injekta lezake erabiltzailearen kontuko parametro batean, datu basean gordeko litzatekeena.