Vulnerabilidad en Rockwell Automation

Ha sido publicada una vulnerabilidad en algunos sistemas de control industrial de Rockwell Automation. En concreto la vulnerabilidad reportada se trata de una Cross Site Scripting (XSS) incidiendo la misma sobre los PLC de Rockwell Automation 1769-L18ER/A LOGIX5318ER. Existe una prueba de concepto (PoC), cuyo exploit desarrollado permite la ejecución de código remoto a través de la interfaz web. ICS-CERT ha notificado al fabricante, solicitando confirmación de la vulnerabilidad e información sobre las medidas para mitigar la misma. Fuente: https://ics-cert.us-cert.gov/alerts/ICS-ALERT-15-225-01  

Seguir leyendoVulnerabilidad en Rockwell Automation

Vulnerabilidad en Juniper Networks

Juniper Networks ha informado de una vulnerabilidad XSS (Cross Site Scripting) en Junos Pulse Secure Access Service (SSL VPN) y en Junos Pulse Access Control Service (UAC). Se han publicado las versiones actualizadas del software que tienen esta brecha de seguridad corregida.

Vulnerabilidad en phpMyAdmin

El equipo del proyecto phpMyAdmin ha informado de una vulnerabilidad a posibles ataques CSRF/XSRF (Cross Site Request Forgery), que podría permitir la ejecución remota de código e incluso la creación de una cuenta de usuario root. Para explotar esta vulnerabilidad, es necesario que un usuario autenticado en el sistema hiciera click en una URL manipulada.

Vulnerabilidades en phpMyAdmin

Se han anunciado varias vulnerabilidades en phpMyAdmin que podrían permitir a un atacante lanzar ataques XSS y saltar restriccciones de seguridad. Para explotar estas vulnerabilidades, es necesario una autenticación previa del usuario, por lo que no han sido calificadas como críticas. Ya se encuentran publicadas las nuevas versiones que mitigan estas brechas de seguridad.