ECAVA SDN BHD INTEGRAXOR. Vulnerabilidad de revelación de información

IntegraXor no restringe adecuadamente el acceso a archivos en el directorio del proyecto. Un atacante puede utilizar una URL manipulada para descargar ciertos archivos en el directorio del proyecto, comprometiendo así la confidencialidad del sistema. Se le han asignado un nivel de importancia críitico.

Recursos afectados

• Ecava Sdn Bhd IntegraXor - 4.1.4360 y anteriores versiones.

Detalle e Impacto de la vulnerabilidad

• IntegraXor no restringe adecuadamente el acceso a archivos en el directorio del proyecto. Un atacante puede utilizar una URL especialmente manipulada para descargar los archivos de copia de seguridad del proyecto desde el directorio del sistema sin ninguna autenticación. Esta vulnerabilidad puede ser explotada remotamente.

Recomendación

• Ecava Sdn Bhd ha emitido una notificación que detalla esta vulnerabilidad y proporciona una mitigación para sus clientes. Se recomienda a los usuarios descargar e instalar la actualización (IntegraXor SCADA Server 4.1.4369), desde su sitio Web de soporte. http://www.integraxor.com/download/beta.msi?4.1.4369

 Más información

• ICS-CERT http://ics-cert.us-cert.gov/advisories/ICSA-14-008-01

Fuente: Inteco