Inyección SQL en Emerson AMS Device Manager

Fecha de publicación:

22/05/2015

Importancia:

2 - Baja

Recursos afectados:

AMS Device Manager v12.5 y anteriores

Descripción:

Se ha descubierto una vulnerabilidad de inyección SQL en AMS Device Manager de Emerson.

Solución:

Para la versión v12.5, aplicar el parche disponible en la web de Emerson, actualizar a la versión v13, o aplicar la solución alternativa para versiones anteriores a la v12.5 explicada en el siguiente párrafo.

Para versiones anteriores a v12.5, añadir un segundo usuario con permisos de administración, y marcar como sólo lectura el administrador por defecto.

Detalle:

Proporcionando una cadena malformada al AMS Device Manager, un atacante podría conseguir acceso administrativo a la aplicación y a sus datos, pero no al sistema donde está instalado.

Se ha reservado el identificador CVE-2015-1008 para esta vulnerabilidad.

Referencias:

Emerson AMS Device Manager SQL Injection Vulnerability

Etiquetas:

Vulnerabilidad

SCADA

Accesos corporativos

Inyección SQL en Emerson AMS Device Manager

Múltiples vulnerabilidades en productos de Universal Robots

Vulnerabilidad en la integridad de las comunicaciones en KUKA Sim Pro

Vulnerabilidad en Fuji Electric V-Server Lite

Múltiples vulnerabilidades en Advantech WebAccess/NMS

Múltiples vulnerabilidades en Automation Studio de B&R