Vulnerabilidad en la aplicación móvil SIMATIC WinCC OA UI

Fecha de publicación
23/03/2018
Importancia
3 - Media
Recursos Afectados
  • SIMATIC WinCC OA UI para Android, todas las versiones anteriores a la v3.15.10
  • SIMATIC WinCC OA UI para iOS, todas las versiones anteriores a la v3.15.10
Descripción

Siemens ha publicado una actualización para corregir una vulnerabilidad de su aplicación móvil SIMATIC WinCC OA UI que podría permitir a un atacante el acceso de lectura y escritura en la carpeta usada como caché por la aplicación.

Solución

Actualizar a la ultima versión de la app:

Detalle

Una limitación incorrecta del script CONTROL podría permitir el acceso de lectura y escritura desde una carpeta de caché de un proyecto HMI a otras carpetas de caché de proyectos HMI dentro de la sandbox de la aplicación en el mismo dispositivo móvil. Esto incluye carpetas de caché de proyectos HMI de otros servidores WinCC OA configurados.

La explotación de esta vulnerabilidad requiere que un usuario de la aplicación se conectase a un servidor WinCC OA controlado por un atacante. Se ha reservado el identificador CVE-2018-4844 para esta vulnerabilidad.

Encuesta valoración

botón arriba