Inyección SQL en Emerson AMS Device Manager

Fecha de publicación:

22/05/2015

Importancia:

2 - Baja

Recursos afectados:

AMS Device Manager v12.5 y anteriores

Descripción:

Se ha descubierto una vulnerabilidad de inyección SQL en AMS Device Manager de Emerson.

Solución:

Para la versión v12.5, aplicar el parche disponible en la web de Emerson, actualizar a la versión v13, o aplicar la solución alternativa para versiones anteriores a la v12.5 explicada en el siguiente párrafo.

Para versiones anteriores a v12.5, añadir un segundo usuario con permisos de administración, y marcar como sólo lectura el administrador por defecto.

Detalle:

Proporcionando una cadena malformada al AMS Device Manager, un atacante podría conseguir acceso administrativo a la aplicación y a sus datos, pero no al sistema donde está instalado.

Se ha reservado el identificador CVE-2015-1008 para esta vulnerabilidad.

Referencias:

Emerson AMS Device Manager SQL Injection Vulnerability

Etiquetas:

Vulnerabilidad

SCADA

Accesos corporativos

Inyección SQL en Emerson AMS Device Manager

Múltiples vulnerabilidades en productos de Schneider Electric

Múltiples vulnerabilidades en productos de Siemens

Vulnerabilidades en productos Valleylab de Medtronic

Consumo incontrolado de recursos en múltiples productos de Mitsubishi Electric

Desbordamiento de búfer en equipamiento V-Server de Fuji Electric