Se ha identificado una vulnerabilidad de salto de directorio
en Honeywell XL Web Controller, catalogada de Importancia: 5 - Crítica
Recursos afectados
- XL1000C50 EXCEL WEB 52 I/O
- XL1000C100 EXCEL WEB 104 I/O
- XL1000C500 EXCEL WEB 300 I/O
- XL1000C1000 EXCEL WEB 600 I/O
- XL1000C50U EXCEL WEB 52 I/O UUKL
- XL1000C100U EXCEL WEB 104 I/O UUKL
- XL1000C500U EXCEL WEB 300 I/O UUKL
- XL1000C1000U EXCEL WEB 600 I/O UUKL
- Un atacante puede generar credenciales de administrador en Honeywell XLWeb de modo que consiga acceso completo al sistema. El aprovechamiento de este fallo permite el acceso al directorio raíz del servidor web.
- Se ha reservado el identificador CVE-2015-0984.
La actualización para esta vulnerabilidad seria aplicar las
dos siguientes actualizaciones:
- Excel Web Linux versión 2.4.01 (marzo, 2014) o posterior
- CARE herramienta 10.02 (marzo de 2014) o posterior
- Se recomienda a los clientes a ponerse en contacto con su oficina local de Honeywell HBS con el fin de que le indiquen los pasos a seguir para solventar el fallo.
- Honeywell XL Web Controller Directory Traversal Vulnerability https://ics-cert.us-cert.gov/advisories/ICSA-15-076-02