Vulnerabilidades descubiertas en Mango Automation SCADA/HMI

Sudhanshu Chauhan perteneciente a Octogence Tech Solutions, ha reportado varias vulnerabilidades en el software Mango Automation SCADA/HMI. Estas vulnerabilidades podrían permitir a un atacante remoto ejecutar un ataque Cross Site Scripting (XSS).

Mango Automation es una plataforma de gestión que permite grabar, iniciar sesión, mostrar gráficas y alarmas, e informar sobre datos de sensores, equipos, PLC, bases de datos, páginas web, etc. Este software también dispone de una plataforma de desarrollo Opensource, permite programar módulos personalizados ajustados a sus necesidades. Se instala fácilmente en cualquier sistema operativo además de ser compatible con sistemas embebidos y servidores.

Las vulnerabilidades, se han agrupado bajo un único identificador CVE-2015-1179. Estas vulnerabilidades permitirían a un atacante remoto no autenticado ejecutar código arbitrario (código JavaScript) a través de los parámetros 'dpid', 'dpxid', y 'pid' en 'data_point_details.shtm', lo que podría permitir la construcción de ataques cross-site scripting.

Ejemplo: http://localhost/data_point_details.shtm?dpid=b3f17<script>alert(1)</script>545cc

Estas vulnerabilidades se han reportado en la versión 2.4.0 aunque no se descarta que pudiesen afectar a versiones anteriores. Se recomienda actualizar a versiones superiores.

Más información:

Mango Automation SCADA/HMI 2.4.0 Cross Site Scripting

http://packetstormsecurity.com/files/130062/Mango-Automation-SCADA-HMI-2.4.0-Cross-Site-Scripting.html

SCADA, HMI & Automation Software

http://infiniteautomation.com/

Juan Sánchez

jasanchez@hispasec.com

una-al-día | Hispasec

miércoles, 4 de febrero de 2015

Vulnerabilidades descubiertas en Mango Automation SCADA/HMI

No hay comentarios:

Publicar un comentario