Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en el Servidor premium de Automated Logic WebCTRL

Fecha de publicación 21/11/2025
Identificador
INCIBE-2025-0652
Importancia
4 - Alta
Recursos Afectados
  • Servidor WebCTRL de Automated Logic, versión 6.1
  • Servidor WebCTRL de Automated Logic, versión 7.0
  • Servidor WebCTRL de Automated Logic, versión 8.0
  • Servidor WebCTRL de Automated Logic, versión 8.5
  • Carrier i-Vu, versión 6.1
  • Carrier i-Vu, versión 7.0
  • Carrier i-Vu, versión 8.0
  • Carrier i-Vu, versión 8.5
  • Automated Logic SiteScan Web, versión 6.1
  • Automated Logic SiteScan Web, versión 7.0
  • Automated Logic SiteScan Web, versión 8.0
  • Automated Logic SiteScan Web, versión 8.5
  • Automated Logic WebCTRL para fabricantes de equipos originales (OEMs), versión 6.1
  • Automated Logic WebCTRL para fabricantes de equipos originales (OEMs), versión 7.0
  • Automated Logic WebCTRL para fabricantes de equipos originales (OEMs), versión 8.0
  • Automated Logic WebCTRL para fabricantes de equipos originales (OEMs), versión 8.5
Descripción

Jaryl Low, Thuy D. Nguyen y Cynthia E. Irvine informaron sobre 2 vulnerabilidades, una de ellas de severidad alta y la otra de severidad media. La explotación de estas vulnerabilidades podría permitir a un atacante remoto engañar a un usuario legítimo para que ejecute scripts o se redirija a sitios web maliciosos.

Solución

Se recomienda actualizar a la última versión disponible de cada producto afectado ya que estas vulnerabilidades se han corregido en Web CTRL 9.0. 

Web CTRL 7.0, Web CTRL 6.1 e i-Vu 6.0 ya no reciben soporte.

Detalle

CVE-2024-8527: esta vulnerabilidad de redireccionamiento abierto se produce cuando una aplicación recibe una URL del usuario y lo redirige a ella sin la validación apropiada. Los atacantes tienen la posibilidad de explotar este fallo para desviar a las víctimas hacia páginas maliciosas.

CVE-2024-8528: vulnerabilidad Cross-site Scripting (XSS) en la cual un atacante podría enviar un script malicioso a un usuario desprevenido ya que el parámetro GET 'wbs' no se valida adecuadamente. La aplicación contiene información no fiable en una página web que no ha sido validada ni escapada correctamente, lo cual posibilita que los atacantes ejecuten scripts maliciosos en el navegador del usuario.

CVE
Explotación
No
Nuevo Fabricante
Automated Logic WebCTRL
Identificador CVE
CVE-2024-8527
Severidad
Alta
Explotación
No
Nuevo Fabricante
Automated Logic WebCTRL
Identificador CVE
CVE-2024-8528
Severidad
Media
Listado de referencias
Automated Logic WebCTRL Premium Server | CISA
Etiquetas