Fecha de publicación: 07/10/2022
Importancia:
Crítica
Recursos afectados:
- FactoryTalk VantagePoint con versiones de firmware:
- anterior a la 8.0,
- entre la 8.0 y 8.10,
- entre la 8.10 y 8.20,
- entre la 8.20 y 8.30,
- entre la 8.30 y 8.31.
Descripción:
Rockwell Automation ha reportado a CISA dos vulnerabilidades de severidad crítica, de control de acceso inadecuado e inyección SQL.
Solución:
Detalle:
- El producto afectado tiene controles de acceso inadecuados. La cuenta de FactoryTalk VantagePoint SQLServer podría permitir que un usuario malintencionado con privilegios de solo lectura ejecute sentencias SQL en la base de datos del back-end. Se ha asignado el identificador CVE-2022-38743 para esta vulnerabilidad.
- El producto afectado carece de validación de entrada cuando los usuarios ingresan declaraciones SQL para recuperar información de la base de datos del back-end. Esta vulnerabilidad podría permitir potencialmente que un usuario con privilegios de usuario básicos realice la ejecución remota de código en el servidor. Se ha asignado el identificador CVE-2022-3158 para esta vulnerabilidad.
Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.