Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/02/2015
Vulnerabilitats descobertes en Mango Automation SCADA/HMI
S’han reportat diverses vulnerabilitats en el programari Mango Automation SCADA/HMI que podrien permetre a un atacant remot executar un atac Cross Site Scripting (XSS).Sudhanshu Chauhan pertanyent a Octogence Tech Solutions, ha reportat diverses vulnerabilitats en el programari Mango Automation SCADA/HMI.
Mango Automation és una plataforma de gestió que permet gravar, iniciar sessió, mostrar gràfiques i alarmes, i informar sobre dades de sensors, equips, PLC, bases de dades, pàgines web, etc. Este programari també disposa d’una plataforma de desenrotllament Opensource, permet programar mòduls personalitzats ajustats a les seues necessitats. S’instal·la fàcilment en qualsevol sistema operatiu a més de ser compatible amb sistemes encastats i servidors.
Les vulnerabilitats, s’han agrupat sota un únic identificador CVE-2015-1179. Estes vulnerabilitats permetrien a un atacant remot no autenticat executar codi arbitrari (codi JavaScript) a través dels paràmetres 'dpid', 'dpxid', i 'pid' en 'data_point_details.shtm', el que podria permetre la construcció d’atacs cross-site scripting.
Exemple: http://localhost/data_point_details.shtm?dpid=b3f17<script>alert(1)</script>545cc
Sistemes Afectats:Estes vulnerabilitats s’han reportat en la versió 2.4.0 encara que no es descarta que pogueren afectar versions anteriors.
Referències:CVE-2015-1179
Solució:Mango Automation SCADA/HMI 2.4.0 Cross Site Scripting
SCADA, HMI & Automation Software