Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun OSIsoft PI Web APIan

Argitalpen data: 2019/08/14

Garrantzia: Handia 

Kaltetutako baliabideak: 

OSIsoft PI Web API, 2018 bertsioa eta lehenagokoak.

Azalpena: 

OSIsoftek bi eratako ahultasunak aurkitu ditu, bat log fitxategietako informazio sentikorraren inklusio erakoa eta bestea CSRF erasoen aurkako babes mekanismoen akats erakoa.

Konponbidea: 

Ahultasun horiek zuzentzeko OSIsoft-ek erabiltzaileei gomendatzen die PI Web API 2018 SP1 bertsiora edo geroagoko batera eguneratzea.

Xehetasuna: 

  • OSIsoft PI Web aplikazioak sortutako log fitxategiek gertakari batzuen aurrean informazio sentikorra agerian uzten dute. Hori erasotzaile batek balia dezake eraso sofistikatuagoak egiteko. Ahultasun horretarako CVE-2019-13515 identifikatzailea erreserbatu da.
  • Aplikazioan ezarritako CSRF (Cross-Site Request Forgery) erako erasoen aurkako babes mekanismoak ez dira eraginkorrak bertsio ahulean. Ahultasun horretarako CVE-2019-13516 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna