VULNERABILIDAD. Detectada en Honeywell XL Web Controller

Se ha identificado una vulnerabilidad de salto de directorio en Honeywell XL Web Controller, catalogada de Importancia: 5 - Crítica

Recursos afectados

1. XL1000C50 EXCEL WEB 52 I/O
2. XL1000C100 EXCEL WEB 104 I/O
3. XL1000C500 EXCEL WEB 300 I/O
4. XL1000C1000 EXCEL WEB 600 I/O
5. XL1000C50U EXCEL WEB 52 I/O UUKL
6. XL1000C100U EXCEL WEB 104 I/O UUKL
7. XL1000C500U EXCEL WEB 300 I/O UUKL
8. XL1000C1000U EXCEL WEB 600 I/O UUKL

Detalle e Impacto de la vulnerabilidad

• Un atacante puede generar credenciales de administrador en Honeywell XLWeb de modo que consiga acceso completo al sistema. El aprovechamiento de este fallo permite el acceso al directorio raíz del servidor web.
• Se ha reservado el identificador CVE-2015-0984.

Recomendación

La actualización para esta vulnerabilidad seria aplicar las dos siguientes actualizaciones:

• Excel Web Linux versión 2.4.01 (marzo, 2014) o posterior
• CARE herramienta 10.02 (marzo de 2014) o posterior
• Se recomienda a los clientes a ponerse en contacto con su oficina local de Honeywell HBS con el fin de que le indiquen los pasos a seguir para solventar el fallo.

Más información

• Honeywell XL Web Controller Directory Traversal Vulnerability  https://ics-cert.us-cert.gov/advisories/ICSA-15-076-02

Fuente: INCIBE