CVE-2023-31160
Improper Neutralization of Input During Web Page Generation
Em resumo
A interface web do SEL RTAC não filtra adequadamente a entrada do usuário, permitindo que um atacante autenticado injete scripts maliciosos que são executados nos navegadores de outros usuários. Isso pode comprometer dados ou ações sensíveis do sistema de controle.
Detalhe técnico
Vulnerabilidade de XSS (Armazenado ou Refletido) no SEL RTAC devido à falta de sanitização de entrada durante a geração da página. Vetor de ataque requer autenticação prévia; o atacante pode injetar JavaScript arbitrário para ser executado na sessão da vítima, potencialmente levando a comandos não autorizados ou roubo de dados no ambiente de controle industrial.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in the Schweitzer Engineering Laboratories Real-Time Automation Controller (SEL RTAC) Web Interface could allow a remote authenticated attacker to inject and execute arbitrary script code.
See SEL Service Bulletin dated 2022-11-15 for more details.
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L
Produtos afetados
Schweitzer Engineering Laboratories · SEL-2241 RTAC moduleSchweitzer Engineering Laboratories · SEL-3350Schweitzer Engineering Laboratories · SEL-3505Schweitzer Engineering Laboratories · SEL-3505-3Schweitzer Engineering Laboratories · SEL-3530Schweitzer Engineering Laboratories · SEL-3530-4Schweitzer Engineering Laboratories · SEL-3532Schweitzer Engineering Laboratories · SEL-3555Schweitzer Engineering Laboratories · SEL-3560ESchweitzer Engineering Laboratories · SEL-3560SQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →