CH azonosító
CH-4968Angol cím
Ecava IntegraXor cross-site scripting vulnerabilityFelfedezés dátuma
2011.05.27.Súlyosság
KritikusÖsszefoglaló
Az Ecava IntegraXor SCADA olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak cross-site scripting (CSS/XSS) támadások kezdeményezésére.
Leírás
A támadó kialakíthat egy egyedi URL-t, amely képes egy tetszőleges script lefuttatására.
A sérülékenységet kihasználva a támadó közvetlen rosszindulatú kódot fecskendezhet be a felhasználó böngészőjének munkamenetébe, mivel a paraméterek megfelelő ellenőrzés nélkül kerülnek vissza a felhasználóhoz.
A sérülékenység sikeres kihasználása tetszőleges adatok felfedéséhez vezethet, amelyben a felhasználó megnyit egy rosszindulatú hivatkozást.
A sérülékenység az IntegraXor összes 3.60 (Build 4080) előtti verzióját érinti.
Megoldás
Frissítsen az IntegraXor legújabb verziójára és telepítse a legújabb 3.60 (Build 4080). javítócsomagot a gyártó oldaláról:
http://www.integraxor.com/download/igsetup.msi
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.integraxor.com
Egyéb referencia: www.us-cert.gov