Ecava IntegraXor cross-site scripting sérülékenység

CH azonosító

CH-4968

Angol cím

Ecava IntegraXor cross-site scripting vulnerability

Felfedezés dátuma

2011.05.27.

Súlyosság

Kritikus

Érintett rendszerek

Ecava
IntegraXor

Érintett verziók

Ecava IntegraXor 3.x

Összefoglaló

Az Ecava IntegraXor SCADA olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak cross-site scripting (CSS/XSS) támadások kezdeményezésére.

Leírás

A támadó kialakíthat egy egyedi URL-t, amely képes egy tetszőleges script lefuttatására.
A sérülékenységet kihasználva a támadó közvetlen rosszindulatú kódot fecskendezhet be a felhasználó böngészőjének munkamenetébe, mivel a paraméterek megfelelő ellenőrzés nélkül kerülnek vissza a felhasználóhoz.

A sérülékenység sikeres kihasználása tetszőleges adatok felfedéséhez vezethet, amelyben a felhasználó megnyit egy rosszindulatú hivatkozást.

A sérülékenység az IntegraXor összes 3.60 (Build 4080) előtti verzióját érinti.

Megoldás

Frissítsen az IntegraXor legújabb verziójára és telepítse a legújabb 3.60 (Build 4080). javítócsomagot a gyártó oldaláról:
http://www.integraxor.com/download/igsetup.msi

Hivatkozások

Gyártói referencia: www.integraxor.com
Egyéb referencia: www.us-cert.gov