Cross-Site Scripting en la serie 460 de Real Time Automation
INCIBE-2023-0406
Serie 460, versiones anteriores a la 8.9.8.
CISA ha reportado una vulnerabilidad de severidad crítica, tras descubrir una prueba de concepto pública de la que es autor Yehia Elghaly, cuya explotación podría permitir a un atacante ejecutar contenido JavaScript malicioso, resultando en un Cross-Site Scripting (XSS).
Real Time Automation recomienda actualizar a la última versión de software disponible, la cual soluciona la vulnerabilidad reportada.
Los productos de la serie Real Time Automation 460 con versiones anteriores a la 8.9.8 son vulnerables a un Cross-Site Scripting, lo que podría permitir a un atacante ejecutar cualquier referencia JavaScript de la cadena URL. Si esto ocurriera, la interfaz HTTP de la pasarela redirigiría a la página principal, que es index.htm.
Se ha asignado el identificador CVE-2023-4523 para esta vulnerabilidad.