CVE-2023-31160

Improper Neutralization of Input During Web Page Generation

CVSS 4.3 MEDIUMEPSS 0.4%CWE-79

En resumen

La interfaz web del SEL RTAC no filtra adecuadamente la entrada del usuario, permitiendo que un atacante autenticado inyecte scripts maliciosos que se ejecuten en los navegadores de otros usuarios. Esto puede comprometer datos o acciones sensibles del sistema de control.

Detalle técnico

Vulnerabilidad de XSS (Almacenado o Reflejado) en SEL RTAC debido a la falta de sanitización de entrada durante la generación de la página. El vector de ataque requiere autenticación previa; el atacante puede inyectar JavaScript arbitrario para ejecutarse en la sesión de la víctima, potencialmente provocando comandos no autorizados o robo de datos en el entorno de control industrial.

Resumen generado y traducido por IA a partir de la descripción oficial.

An Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in the Schweitzer Engineering Laboratories Real-Time Automation Controller (SEL RTAC) Web Interface could allow a remote authenticated attacker to inject and execute arbitrary script code. See SEL Service Bulletin dated 2022-11-15 for more details.

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L

Productos afectados

Schweitzer Engineering Laboratories · SEL-2241 RTAC module Schweitzer Engineering Laboratories · SEL-3350 Schweitzer Engineering Laboratories · SEL-3505 Schweitzer Engineering Laboratories · SEL-3505-3 Schweitzer Engineering Laboratories · SEL-3530 Schweitzer Engineering Laboratories · SEL-3530-4 Schweitzer Engineering Laboratories · SEL-3532 Schweitzer Engineering Laboratories · SEL-3555 Schweitzer Engineering Laboratories · SEL-3560E Schweitzer Engineering Laboratories · SEL-3560S

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://selinc.com/support/security-notifications/external-reports/https://www.nozominetworks.com/blog/