Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Fecha de publicación 07/12/2018
Importancia
4 - Alta
Recursos Afectados

Cimplicity versiones 9.0 R2, 9.5 y 10.0

Descripción

El investigador Vladimir Dashchenko de Kaspersky Lab ha reportado una vulnerabilidad del tipo restricción insuficiente en referencias de entidad externa XML en Proficy GDS de General Electric que podría permitir a un atacante iniciar una sesión OPC UA y recuperar algún archivo del sistema objetivo.

Solución
  • GE aconseja a los clientes actualizar a la versión 2.1 o superior.
Detalle
  • La restricción inadecuada de referencias XXE (XML External Entity) podría permitir, mediante inyecciones XXE, llegar a una ruta dentro del servidor Proficy, iniciar una sesión de OPC UA y recuperar archivos del sistema objetivo. Se ha asignado el identificador CVE-2018-15362 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Advisory (ICSA-18-340-01) GE Proficy GDS
KLCERT-18-025: General Electric Proficy GDS XML eXternal Entity (XXE)
Etiquetas