Vulnerabilidad XSS en routers industriales de Red Lion y Helmholz
INCIBE-2023-0346
Versiones anteriores a 7.3.2 de los dispositivos:
- mbNET;
- mbNET.rokey;
- REX 200;
- REX 250.
El CERT@VDE ha coordinado la publicación de una vulnerabilidad de tipo XSS (Cross-Site Scripting) con severidad alta, que afecta a routers industriales de los fabricantes Red Lion y Helmholz. Un atacante remoto autenticado podría comprometer completamente la sesión del navegador de todos los usuarios que accedan a la interfaz web de los dispositivos afectados.
Actualizar los productos afectados a la versión 7.3.2.
La vulnerabilidad podría permitir el almacenamiento de un payload JavaScript arbitrario en la página de diagnóstico del dispositivo afectado, que se carga inmediatamente después de iniciar sesión en el dispositivo, ejecutando así el payload almacenado, permitiendo a un atacante leer y escribir datos del navegador y reducir el rendimiento del sistema. Se ha asignado el identificador CVE-2023-34412 para esta vulnerabilidad.
