Divulgación de información en ISaGRAF de Rockwell Automation
- ISaGRAF
Kimiya, trabajando junto a Trend Micro Zero’s Day Initiative, ha reportado esta vulnerabilidad que podría permitir a un atacante remoto revelar información sensible en las instalaciones afectadas de Rockwell Automation ISaGRAF.
Dada la naturaleza de las vulnerabilidades, la única estrategia de mitigación consiste en restringir la interacción con la aplicación.
La restricción inadecuada de las referencias a entidades externas XML (XXE), en el procesamiento de archivos isasln, podría permitir a un atacante revelar información en el contexto del proceso actual, mediante un documento especialmente diseñado con una URI específica a la que el analizador XML accede e incrusta el contenido de nuevo en el documento XML para su posterior procesamiento.