Múltiples vulnerabilidades en PowerMonitor 1000 de Rockwell Automation
Fecha de publicación 14/02/2019
Importancia
5 - Crítica
Recursos Afectados
- Monitores PowerMonitor 1000, todas las versiones.
Descripción
Rockwell Automation ha identificados dos vulnerabilidades del tipo cross-site scripting (XSS) y evasión de autenticación en sus monitores PowerMonitor 1000 que podrían permitir a un atacante remoto sin autenticación la inyección de código en el navegador web del usuario, el uso de funcionalidades restringidas a usuarios administradores o la modificación de la configuración del usuario y del dispositivo.
Solución
- [Actualización 27/08/2019]: Aplicar FRN 4.019 o posterior.
- Rockwell Automation se encuentra trabajando en la solución de estas vulnerabilidades y por el momento no hay solución. Para la vulnerabilidad de cross-site scripting recomienda utilizar las reglas IPS publicadas por CheckPoint en la pestaña «Protection».
Detalle
- Una vulnerabilidad en la aplicación web del dispositivo afectado podría permitir a un atacante remoto sin autenticación la inyección de código arbitrario en el navegador web del usuario objetivo (XSS). Se ha asignado el identificador CVE-2019-19615 para esta vulnerabilidad.
- Un atacante remoto sin autenticación podría utilizar un proxy para habilitar cierta funcionalidad en la aplicación web del dispositivo que normalmente está disponible únicamente para usuarios de administración, pudiendo así modificar la configuración del usuario y del dispositivo. Se ha asignado el identificador CVE-2019-19616 para esta vulnerabilidad.
Listado de referencias
Etiquetas