Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/01/11

Garrantzia: Ertaina

Kaltetutako baliabideak:

• Niagara Enterprise Security 2.3u1, 2.3.118.6 baino lehenagoko bertsio guztiak
• Niagara AX 3.8u4, 3.8.401.1 baino lehenagoko bertsio guztiak
• Niagara 4.4u2, 4.4.93.40.2 baino lehenagoko bertsio guztiak
• Niagara 4.6, 4.6.96.28.4 baino lehenagoko bertsio guztiak

Azalpena:

SecurityMatters-eko Daniel Santos eta Elisa Constante ikertzaileek Cross-Site Scripting erako ahultasun baten berri eman dute, Tridium-en Niagara gailuei eragiten diena. Autentifikatutako erasotzaile batek kodea injekta lezake webguneetan eta horrek konfidentzialtasunari eragin liezaioke.

Konponbidea:

Tridiumek bere erabiltzaile erregistratuen eskura eguneraketa bereziak jarri ditu, kaltetutako produktuen arabera. Eguneraketak ondoko loturetatik jaits daitezke:

• Niagara Enterprise security 2.3u1, 2.3.118.6 bertsioa
• Niagara AX 3.8u4, 3.8.401.1 bertsioa
• Niagara 4.4u2, 4.4.93.40.2 bertsioa
• Niagara 4.6, versión 4.6.96.28.4

Xehetasuna:

Urruneko erasotzaile batek scriptak injekta litzake webguneko bezeroaren partean, eta beste erabiltzaile batzuek ikus litzakete. Ahultasun horretarako CVE-2018-18985 identifikatzailea erreserbatu da.