Vulnerabilidad en la aplicación móvil SIMATIC WinCC OA UI
- SIMATIC WinCC OA UI para Android, todas las versiones anteriores a la v3.15.10
- SIMATIC WinCC OA UI para iOS, todas las versiones anteriores a la v3.15.10
Siemens ha publicado una actualización para corregir una vulnerabilidad de su aplicación móvil SIMATIC WinCC OA UI que podría permitir a un atacante el acceso de lectura y escritura en la carpeta usada como caché por la aplicación.
Actualizar a la ultima versión de la app:
- Para android disponible en https://play.google.com/store/apps/details?id=com.siemens.winccoaui
- Para iOS disponible en https://itunes.apple.com/us/app/simatic-wincc-oa-ui/id1073943068
Una limitación incorrecta del script CONTROL podría permitir el acceso de lectura y escritura desde una carpeta de caché de un proyecto HMI a otras carpetas de caché de proyectos HMI dentro de la sandbox de la aplicación en el mismo dispositivo móvil. Esto incluye carpetas de caché de proyectos HMI de otros servidores WinCC OA configurados.
La explotación de esta vulnerabilidad requiere que un usuario de la aplicación se conectase a un servidor WinCC OA controlado por un atacante. Se ha reservado el identificador CVE-2018-4844 para esta vulnerabilidad.
