Un investigador de seguridad ha informado sobre una vulnerabilidad en Ecava
IntegraXor, mediante la cual usando una cuenta de invitado se tiene acceso a
información sensible. Dicha vulnerabilidad se ha catalogado con un nivel de
Importancia: 3 - Media
Recursos afectados
Sistemas afectados:
- Ecava IntegraXor 3.60.4061
- Ecava IntegraXor 3.71
- Ecava IntegraXor 4.1.4360
- Ecava IntegraXor 3.5.3900.10
- Ecava IntegraXor 3.5.3900.5
- Ecava IntegraXor 3.5.4000.5
- Ecava IntegraXor 3.6.4000.5
- Ecava IntegraXor 3.6.4000.0
- Ecava IntegraXor 3.60
- Ecava IntegraXor 3.60.4032
- Ecava IntegraXor 3.60.4050
- Ecava IntegraXor 3.71.4200
- Ecava IntegraXor 3.5
- Ecava IntegraXor 3.72
- Ecava IntegraXor 4.00
- Ecava IntegraXor 4.00.4250
- Ecava IntegraXor 4.00.4280
- Ecava IntegraXor 4.1.4369
- Ecava IntegraXor 4.1.4380
- Ecava IntegraXor 4.1.4390
- Ecava IntegraXor, un software para el control de sistemas industriales (HMI/SCADA) mediante una interfaz web, ha publicado una vulnerabilidad en la que un atacante con una cuenta de invitado podría obtener información sensible que podría ser usada en ataques posteriores.
- Para explotar la vulnerabilidad el atacante debe tener acceso a un ordenador vulnerable y conocer el puerto de conexión y URL completa del proyecto.
- IntegraXor ha publicado una actualización se solucionada la vulnerabilidad. Descargase en el siguiente enlace, http://www.integraxor.com/download/igsetup.msi?4.1.4410
- Para mitigar esta vulnerabilidad, si no puede ser actualizado el sistema por motivos de compatibilidad, el fabricante recomienda habilitar Enhanced User Security y configurar el cifrado de la información de cuentas . Esta opciones de configuración se activarán por defecto a partir de la próxima versión.
- ACCOUNT INFORMATION DISCLOSURE VULNERABILITY NOTE http://www.integraxor.com/blog/account-information-disclosure-vulnerability-note/