Sudhanshu Chauhan perteneciente a Octogence Tech Solutions, ha reportado varias vulnerabilidades en el software Mango Automation SCADA/HMI. Estas vulnerabilidades podrían permitir a un atacante remoto ejecutar un ataque Cross Site Scripting (XSS).
Descripción de la plataforma
- Mango Automation es del tipo de gestión que permite grabar, iniciar sesión, mostrar gráficas y alarmas, e informar sobre datos de sensores, equipos, PLC, bases de datos, páginas web, etc.
- Este software también dispone de una plataforma de desarrollo Opensource, permite programar módulos personalizados ajustados a sus necesidades. Se instala fácilmente en cualquier sistema operativo además de ser compatible con sistemas embebidos y servidores.
- Las vulnerabilidades, se han agrupado bajo un único identificador CVE-2015-1179. Estas vulnerabilidades permitirían a un atacante remoto no autenticado ejecutar código arbitrario (código JavaScript) a través de los parámetros 'dpid', 'dpxid', y 'pid' en 'data_point_details.shtm', lo que podría permitir la construcción de ataques cross-site scripting.
- Ejemplo: http://localhost/data_point_details.shtm?dpid=b3f17545cc
- Estas vulnerabilidades se han reportado en la versión 2.4.0 aunque no se descarta que pudiesen afectar a versiones anteriores. Se recomienda actualizar a versiones superiores.
- Mango Automation SCADA/HMI 2.4.0 Cross Site Scripting http://packetstormsecurity.com/files/130062/Mango-Automation-SCADA-HMI-2.4.0-Cross-Site-Scripting.html
- SCADA, HMI & Automation Software http://infiniteautomation.com/
