CH azonosító
CH-6417Angol cím
Invensys Wonderware HMI Reports XSS and Write Access Violation VulnerabilitiesFelfedezés dátuma
2012.02.15.Súlyosság
MagasÉrintett rendszerek
InvensysWonderware HMI Reports
Érintett verziók
Wonderware HMI Reports 3.42.835.0304 és korábbi verziók
Összefoglaló
Az Invensys Wonderware HMI reports több sérülékenysége vált ismertté, amelyet kihasználva bizalmas adatok kerülhetnek illetéktelen kezekbe, a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre, és szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.
Leírás
- Query String paraméter értékek nem megfelelő szerver oldali ellenőrzése miatt a támadók cross-site scripting támadásokat hajthatnak végre.
A sérülékenység sikeres kihasználásához rá kell venni a felhasználót egy különlegesen kialakított URL megtekintésére, aminek hatására a szerver HTTP válaszába egy kliens-oldali script kerül beszúrásra, ami a felhasználó böngésző munkamenetében fog lefutni az adott oldallal kapcsolatban. - Egy írási jogok megsértése miatti sérülékenységet jelentettek az Invensys Wonderware HMI Reports alkalmazásban, amit kihasználva tetszőleges kód futtatható. A sérülékenység kihasználásához egy helyi felhasználónak kell megnyitnia egy különlegesen kialakított fájlt.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.us-cert.gov
CVE-2011-4038 - NVD CVE-2011-4038
CVE-2011-4039 - NVD CVE-2011-4039