Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

XSS en el controlador Tracer SC de Trane

Fecha de publicación 20/10/2021
Importancia
3 - Media
Recursos Afectados

Tracer SC, versión de firmware 3.8 y anteriores.

Descripción

El investigador, Chizuru Toyama, de Trend Micro, ha reportado al CISA una vulnerabilidad de severidad media que podría permitir a un atacante remoto redirigir a un usuario a una página web maliciosa y robar sus cookies.

Solución

Actualizar a la versión 4.4SP7 o posterior.

Otra solución es migrar al controlador Tracer SC+, ya que el fabricante indica que el ciclo de vida de Tracer SC finaliza el 31 de diciembre de 2022.

Detalle

La aplicación web del producto afectado neutraliza incorrectamente la entrada durante la generación de una página web, lo que podría permitir a un atacante realizar XSS e inyectar código. Se ha asignado el identificador CVE-2021-42534 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-21-292-02) Trane HVAC Systems Controls
Etiquetas