WAŻNE: Krytyczna podatność TelWin SCADA WebInterface [CVE-2023-0956]

Zagrożone wersje:

• TelWin SCADA WebInterface: wersje 3.2 do 6.1
• TelWin SCADA WebInterface: wersje 7.0 do 7.1
• TelWin SCADA WebInterface: wersje 8.0 i 9.0

W określonych wyżej wersjach TelWin SCADA WebInterface występuje podatność typu Path Traversal. Oznacza to, że atakujący może uzyskać w nieautoryzowany sposób dostęp do dowolnych plików na serwerze (do których oczywiście nie powinien mieć dostępu), na którym działa IIS z aplikacją TelWinWEB.

Z uwagi na powyższe zalecamy aktualizację do najnowszej wersji TelWin SCADA 7.14 (lub odpowiedniej poprawki wersji: 7.11.03, 7.10.07, 7.09.07, 7.08.10) i odpowiadającej wersji TelWin WebInterface, a jeżeli nie jest to możliwe, to należy wykonać następujące zmiany w pliku konfiguracyjnym aplikacji x:\inetpub\wwwroot\TelWinWeb\web.config (x – litera partycji systemowej windows) wprowadzając requestFiltering - denyUrlSequences oraz denyQueryStringSequences dla wartości „..”:

Tak zmodyfikowana konfiguracja pozwoli uchronić się przed wykorzystaniem opisywanej podatności.