Vulnerabilidad en el servidor web de configuración integrado en IE/WSN-PA Link WirelessHART Gateway (CVE-2019-13923)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

13/09/2019

Última modificación:

24/09/2019

Descripción

Se ha identificado una vulnerabilidad en IE/WSN-PA Link WirelessHART Gateway (Todas las versiones). El servidor web de configuración integrado del dispositivo afectado podría permitir ataques de tipo Cross-Site Scripting (XSS) si usuarios desprevenidos son engañados para acceder a un enlace malicioso. Se requiere la interacción del usuario para una explotación con éxito. El usuario debe iniciar sesión en la interfaz web para que la explotación tenga éxito. En la etapa de publicación de este aviso de seguridad, no es conocida una explotación pública.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.60 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.60

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno