Se han descubierto diversas vulnerabilidades que afectan a la aplicación web de Wonderware Information Server, y que podrían derivar en robos de credenciales, ejecución de código de forma remota y fugas de información. Catalogadas de Importancia: 4 – Alta

Recursos afectados

  • Wonderware Information Server 4.0 SP1 Portal
  • Wonderware Information Server 4.5 Portal
  • Wonderware Information Server 5.0 Portal
  • Wonderware Information Server 5.5 Portal

Detalle e Impacto de la vulnerabilidad

  1. Cross-site scripting (CVE-2014-5397) .-  No se valida, filtra o codifica la entrada de usuario antes de volver al interface web.
  2. Validación de entrada incorrecta (CVE-2014-5398) .-  Utilizando determinados ficheros XML malformados, un atacante puede causar una denegación de servicio, o enviar archivos locales a un servidor remoto.
  3. Inyección SQL (CVE-2014-5399) .-  WIS es vulnerable a inyección SQL, que puede ser utilizada para comprometer la base de datos o para ejecutar código de forma remota.

Recomendación

  • Actualizar a WIS versión 5.5 y aplicar el parche de seguridad proporcionado por Schneider Electric.

Más información:

Fuente: INTECO.