Vulnerabilidad de ejecución de código en myPRO de mySCADA

Fecha de publicación: 
13/09/2017
Importancia: 
4 - Alta
Recursos afectados: 

La plataforma de gestión HMI / SCADA afectada es:

  • myPRO versión 7.0.26 y anteriores.
Descripción: 

El investigador Karn Ganeshen ha reportado una vulnerabilidad de ruta de búsqueda o elemento sin comillas en dispositivos myPRO de mySCADA. La explotación exitosa de esta vulnerabilidad podría permitir a un usuario local autenticado pero sin privilegios, ejecutar código arbitrario elevando privilegios.

Solución: 

mySCADA ha lanzado nuevas versiones que solucionan esta vulnerabilidad. mySCADA recomienda a los usuarios actualizar a la última versión desde la página web:

https://www.myscada.org/download/

Detalle: 

La explotación exitosa de la vulnerabilidad de ruta de búsqueda o elemento sin comillas podría permitir a un usuario local autenticado, sin privilegios, ejecutar código arbitrario con mayores privilegios. Permitiendole accecer a otros recuros en otras rutas del dispositivo.

Se ha reservado el identificador CVE-2017-12730 para esta vulnerabilidad.