Vulnerabilidad en MicroLogix 1100 y 1400 (CVE-2022-46670)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
16/12/2022
Última modificación:
07/11/2023
Descripción
Un investigador de seguridad del Instituto de Tecnología de Georgia informó a Rockwell Automation de una vulnerabilidad que indica que los controladores MicroLogix 1100 y 1400 contienen una vulnerabilidad que puede brindarle a un atacante la capacidad de realizar la ejecución remota de código. La vulnerabilidad es de Cross-Site Scripting almacenado, no autenticada en el servidor web integrado. El payload se transfiere al controlador a través de SNMP y se representa en la página de inicio del sitio web integrado.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:rockwellautomation:micrologix_1400_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:rockwellautomation:micrologix_1400:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:rockwellautomation:micrologix_1100_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:rockwellautomation:micrologix_1100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:rockwellautomation:micrologix_1400-b_firmware:*:*:*:*:*:*:*:* | 21.007 (incluyendo) | |
| cpe:2.3:h:rockwellautomation:micrologix_1400-b:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:rockwellautomation:micrologix_1400-c_firmware:*:*:*:*:*:*:*:* | 21.007 (incluyendo) | |
| cpe:2.3:h:rockwellautomation:micrologix_1400-c:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:rockwellautomation:micrologix_1400-a_firmware:*:*:*:*:*:*:*:* | 7.000 (incluyendo) | |
| cpe:2.3:h:rockwellautomation:micrologix_1400-a:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página