PT-2013-36: Внедрение XML External Entity в Wonderware Win-XML Exporter Уязвимое ПОWonderware Win-XML Exporter Версия: 1522.148.0.0 и более ранниеСсылка: http://global.wonderware.com/EN/Pages/default.aspxРейтинг опасностиУровень опасности: Средний Воздействие: Доступ к внутренним ресурсам сети и файловой системе, отказ в обслуживании Вектор атаки: УдаленныйCVSS v2: Base Score: 6.3 Vector: (AV:L/AC:M/Au:N/C:C/I:N/A:C) CVE: CVE-2012-4710Описание программыПрограммное обеспечение Wonderware Win-XML Exporter предназначено для конвертации окон интерфейса из проекта Intouch HMI и отображения их через Internet Explorer с помощью Wonderware Information Server.Описание уязвимостиСпециалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Внедрение XML External Entity" в Wonderware Win-XML Exporter. Злоумышленник может дать пользователю специально сформированный проект, при открытии которого Wonderware Win-XML Exporter отошлет содержимое локального или удаленного ресурса на сервер злоумышленника. Так же поддержка entities позволяет проводить атаки Denial of Services (Отказ в Обслуживании).РешениеУстановите последнюю версию приложения.Статус уведомления 22.11.2012 - Производителю отправлены детали уязвимости 21.03.2013 - Производитель выпустил исправление 03.04.2013 - Публикация уязвимости БлагодарностиУязвимость обнаружили Тимур Юнусов, Алексей Осипов, Илья Карпов (Исследовательcкий центр Positive Research компании Positive Technologies)Ссылкиhttp://www.securitylab.ru/lab/PT-2013-36Список отчетов о ранее обнаруженных уязвимостях Positive Research:http://www.ptsecurity.ru/lab/advisory/ http://www.securitylab.ru/lab/