Cross-site scripting en dispositivos de PSI GridConnect GmbH
Fecha de publicación 01/03/2019
Importancia
4 - Alta
Recursos Afectados
- Telecontrol Gateway 3G versiones 4.2.21, 5.0.27, 6.0.16 y anteriores
- Telecontrol Gateway XS-MU versiones 4.2.21, 5.0.27, 5.1.19, 6.0.16 y anteriores
- Telecontrol Gateway VM versiones 4.2.21, 5.0.27, 5.1.19, 6.0.16 y anteriores
- Smart Telecontrol Unit TCG versions 5.0.27, 5.1.19, 6.0.16 y anteriores
- IEC104 Security Proxy version 2.2.10 y anteriores
Descripción
El investigador Can Kurnaz ha identificado una vulnerabilidad de tipo cross-site scripting (XSS) que afecta a varios dispositivos de PSI GridConnect GmbH y que podría permitir a un atacante ejecutar código de manera arbitraria en la aplicación objetivo.
Solución
- PSI recomienda a los usuarios actualizar a las versiones 5.1.20, 6.0.17 e IEC104 Security Proxy versión 2.2.11.
- Las versiones 4.2.x y 5.0.x ya no tendrán soporte
Detalle
- Una vulnerabilidad de cross-site scripting debida a una neutralización incorrecta de las entradas HTML, JavaScript o VBScript durante la generación de la página web, podría permitir a un atacante ejecutar código de manera arbitraria. Se ha asignado el identificador CVE-2019-6528 para esta vulnerabilidad.
Listado de referencias
Etiquetas