Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/02/2015
Vulnerabilidades descubiertas en Mango Automation SCADA/HMI
Se han reportado varias vulnerabilidades en el software Mango Automation SCADA/HMI que podrían permitir a un atacante remoto ejecutar un ataque Cross Site Scripting (XSS).Sudhanshu Chauhan perteneciente a Octogence Tech Solutions, ha reportado varias vulnerabilidades en el software Mango Automation SCADA/HMI.
Mango Automation es una plataforma de gestión que permite grabar, iniciar sesión, mostrar gráficas y alarmas, e informar sobre datos de sensores, equipos, PLC, bases de datos, páginas web, etc. Este software también dispone de una plataforma de desarrollo Opensource, permite programar módulos personalizados ajustados a sus necesidades. Se instala fácilmente en cualquier sistema operativo además de ser compatible con sistemas embebidos y servidores.
Las vulnerabilidades, se han agrupado bajo un único identificador CVE-2015-1179. Estas vulnerabilidades permitirían a un atacante remoto no autenticado ejecutar código arbitrario (código JavaScript) a través de los parámetros 'dpid', 'dpxid', y 'pid' en 'data_point_details.shtm', lo que podría permitir la construcción de ataques cross-site scripting.
Ejemplo: http://localhost/data_point_details.shtm?dpid=b3f17<script>alert(1)</script>545cc
Sistemas Afectados:Estas vulnerabilidades se han reportado en la versión 2.4.0 aunque no se descarta que pudiesen afectar a versiones anteriores.
Referencias:CVE-2015-1179
Solución:Mango Automation SCADA/HMI 2.4.0 Cross Site Scripting
SCADA, HMI & Automation Software