XSS en el controlador Tracer SC de Trane

Fecha de publicación 20/10/2021

Importancia

3 - Media

Recursos Afectados

Tracer SC, versión de firmware 3.8 y anteriores.

Descripción

El investigador, Chizuru Toyama, de Trend Micro, ha reportado al CISA una vulnerabilidad de severidad media que podría permitir a un atacante remoto redirigir a un usuario a una página web maliciosa y robar sus cookies.

Solución

Actualizar a la versión 4.4SP7 o posterior.

Otra solución es migrar al controlador Tracer SC+, ya que el fabricante indica que el ciclo de vida de Tracer SC finaliza el 31 de diciembre de 2022.

Detalle

La aplicación web del producto afectado neutraliza incorrectamente la entrada durante la generación de una página web, lo que podría permitir a un atacante realizar XSS e inyectar código. Se ha asignado el identificador CVE-2021-42534 para esta vulnerabilidad.

Listado de referencias

ICS Advisory (ICSA-21-292-02) Trane HVAC Systems Controls

Etiquetas

Actualización
Vulnerabilidad