Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Honeywell WIN-PAK

Fecha de publicación 26/02/2020
Importancia
4 - Alta
Recursos Afectados

WIN-PAK, versión 4.7.2 y anteriores.

Descripción

Se han detectado 3 vulnerabilidades, 2 de severidad alta y una media, de tipos CSRF, neutralización inadecuada de los encabezados HTTP para la sintaxis de los scripts y uso de librerías obsoletas.

Solución

Actualizar WIN-PAK a la versión 4.7.2 B1072.3.4 y, posteriormente, aplicar el parche.

Detalle
  • El producto afectado es vulnerable a CSRF (Cross-Site Request Forgery), lo que puede permitir a un atacante remoto ejecutar código arbitrario. Se ha reservado el identificador CVE-2020-7005 para esta vulnerabilidad.
  • Se ha identificado una vulnerabilidad de neutralización incorrecta de las cabeceras HTTP, que puede permitir la ejecución remota de código. Se ha reservado el identificador CVE-2020-6982 para esta vulnerabilidad.
  • El producto afectado es vulnerable debido al uso de librerías jQuery obsoletas. Se ha reservado el identificador CVE-2020-6978 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-20-056-05) Honeywell WIN-PAK
Etiquetas