miércoles, 4 de febrero de 2015

Vulnerabilidades descubiertas en Mango Automation SCADA/HMI

Sudhanshu Chauhan perteneciente a Octogence Tech Solutions, ha reportado varias vulnerabilidades en el software Mango Automation SCADA/HMI. Estas vulnerabilidades podrían permitir a un atacante remoto ejecutar un ataque Cross Site Scripting (XSS).

Mango Automation es una plataforma de gestión que permite grabar, iniciar sesión, mostrar gráficas y alarmas, e informar sobre datos de sensores, equipos, PLC, bases de datos, páginas web, etc. Este software también dispone de una plataforma de desarrollo Opensource, permite programar módulos personalizados ajustados a sus necesidades. Se instala fácilmente en cualquier sistema operativo además de ser compatible con sistemas embebidos y servidores.

Las vulnerabilidades, se han agrupado bajo un único identificador CVE-2015-1179. Estas vulnerabilidades permitirían a un atacante remoto no autenticado ejecutar código arbitrario (código JavaScript) a través de los parámetros 'dpid', 'dpxid', y 'pid' en 'data_point_details.shtm', lo que podría permitir la construcción de ataques cross-site scripting.


Estas vulnerabilidades se han reportado en la versión 2.4.0 aunque no se descarta que pudiesen afectar a versiones anteriores. Se recomienda actualizar a versiones superiores.

Más información:

Mango Automation SCADA/HMI 2.4.0 Cross Site Scripting

SCADA, HMI & Automation Software



Juan Sánchez

No hay comentarios:

Publicar un comentario en la entrada