Vulnerabilidad XSS en productos WAGO

Fecha de publicación: 10/03/2022

Importancia:
Media

Recursos afectados:

Versiones de firmware desde la 16 hasta la 22 (no incluida) de los productos:

  • Compact Controller CC100,
  • Edge Controller,
  • Series PFC100,
  • Series PFC200,
  • Series Touch Panel 600 Advanced Line,
  • Series Touch Panel 600 Marine Line,
  • Series Touch Panel 600 Standard Line.

Descripción:

El investigador Mohamed Magdy Abumuslim ha reportado al fabricante WAGO, coordinados por el CERT@VDE, una vulnerabilidad de severidad media y tipo XSS, que afecta a varios dispositivos.

Solución:

Instalar la próxima actualización de firmware, que estará disponible a finales del segundo trimestre de 2022.

Hasta entonces, aplicar las medidas de mitigación:

  • restringir el acceso a la red del dispositivo,
  • utilizar credenciales seguras,
  • no conectar directamente el dispositivo a Internet,
  • deshabilitar los puertos TCP/UDP no usados.

Detalle:

Varias páginas de configuración de Web-Based Management (WBM) son vulnerables a ataques de XSS (Cross-Site Scripting) reflejado. Un atacante, que disponga de un inicio de sesión autorizado en el dispositivo con privilegios de usuario, podría obtener acceso a información confidencial en un dispositivo que se conecte al WBM después de haber sido comprometido. Se ha asignado el identificador CVE-2022-22511 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Comunicaciones, Infraestructuras críticas, SCADA, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.