Divulgación de información en ISaGRAF de Rockwell Automation

Fecha de publicación: 10/05/2022

Importancia:
Media

Recursos afectados:

  • ISaGRAF

Descripción:

Kimiya, trabajando junto a Trend Micro Zero’s Day Initiative, ha reportado esta vulnerabilidad que podría permitir a un atacante remoto revelar información sensible en las instalaciones afectadas de Rockwell Automation ISaGRAF.

Solución:

Dada la naturaleza de las vulnerabilidades, la única estrategia de mitigación consiste en restringir la interacción con la aplicación.

Detalle:

La restricción inadecuada de las referencias a entidades externas XML (XXE), en el procesamiento de archivos isasln, podría permitir a un atacante revelar información en el contexto del proceso actual, mediante un documento especialmente diseñado con una URI específica a la que el analizador XML accede e incrusta el contenido de nuevo en el documento XML para su posterior procesamiento.

Encuesta valoración

Etiquetas:
0day, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.