Cross-site Scripting en Fast Switch 61850 de GE
GE S2020/S2020G Fast Switch 61850 versión 07A03 y anteriores.
Murat Aydemir, de Biznet Bilisim A.S., ha reportado una vulnerabilidad que afecta a dispositivos de GE. Un atacante remoto podría inyectar código arbitrario o permitir la divulgación datos confidenciales.
GE recomienda actualizar los dispositivos a la versión 07A04 o posterior.
Un atacante remoto podría inyectar código Javascript arbitrario en un paquete HTTP, específicamente modificado, que se vería reflejado en la respuesta del HTTP. El dispositivo también es vulnerable a ataques de Cross-Site Scripting (XSS) almacenado que podría permitir a un atacante remoto el secuestro de sesión, la exposición de datos sensibles, Cross-Site Request Forgery (CSRF) o la ejecución remota de código. Se ha reservado el identificador CVE-2019-18267 para esta vulnerabilidad.