Vulnerabilidad XSS en productos WAGO
Versiones de firmware desde la 16 hasta la 22 (no incluida) de los productos:
- Compact Controller CC100,
- Edge Controller,
- Series PFC100,
- Series PFC200,
- Series Touch Panel 600 Advanced Line,
- Series Touch Panel 600 Marine Line,
- Series Touch Panel 600 Standard Line.
El investigador Mohamed Magdy Abumuslim ha reportado al fabricante WAGO, coordinados por el CERT@VDE, una vulnerabilidad de severidad media y tipo XSS, que afecta a varios dispositivos.
Instalar la próxima actualización de firmware, que estará disponible a finales del segundo trimestre de 2022.
Hasta entonces, aplicar las medidas de mitigación:
- restringir el acceso a la red del dispositivo,
- utilizar credenciales seguras,
- no conectar directamente el dispositivo a Internet,
- deshabilitar los puertos TCP/UDP no usados.
Varias páginas de configuración de Web-Based Management (WBM) son vulnerables a ataques de XSS (Cross-Site Scripting) reflejado. Un atacante, que disponga de un inicio de sesión autorizado en el dispositivo con privilegios de usuario, podría obtener acceso a información confidencial en un dispositivo que se conecte al WBM después de haber sido comprometido. Se ha asignado el identificador CVE-2022-22511 para esta vulnerabilidad.
