La vulnerabilidad de Nordex NC2 informada con identificador ICSA-14-303-01, es un seguimiento de la alerta publicada el 31 de octubre de 2013 con identificador ICS-ALERT-13-304-01.
NC2 es un software web SCADA utilizado principalmente en plantas eólicas con base en EEUU, Europa y China.
La vulnerabilidad y la PoC (prueba de concepto) fue reportada por el investigador independiente Dario Freamon, y la misma se basa en XSS (cross-site scripting).
La explotación de la vulnerabilidad podría permitir a un atacante remoto la ejecución de código malicioso en el navegador del usuario, que debido a la configuración de confianza con el servidor podría tener graves consecuencias.
Productos afectados
- Instalaciones basadas en Nordex Control 2 (NC2) SCADA v16 y versiones anteriores.