Inyección SQL en Emerson AMS Device Manager

Fecha de publicación:

22/05/2015

Importancia:

2 - Baja

Recursos afectados:

AMS Device Manager v12.5 y anteriores

Descripción:

Se ha descubierto una vulnerabilidad de inyección SQL en AMS Device Manager de Emerson.

Solución:

Para la versión v12.5, aplicar el parche disponible en la web de Emerson, actualizar a la versión v13, o aplicar la solución alternativa para versiones anteriores a la v12.5 explicada en el siguiente párrafo.

Para versiones anteriores a v12.5, añadir un segundo usuario con permisos de administración, y marcar como sólo lectura el administrador por defecto.

Detalle:

Proporcionando una cadena malformada al AMS Device Manager, un atacante podría conseguir acceso administrativo a la aplicación y a sus datos, pero no al sistema donde está instalado.

Se ha reservado el identificador CVE-2015-1008 para esta vulnerabilidad.

Referencias:

Emerson AMS Device Manager SQL Injection Vulnerability

Etiquetas:

Vulnerabilidad

SCADA

Accesos corporativos

Inyección SQL en Emerson AMS Device Manager

Protección insuficiente de credenciales en eSOMS de Hitachi ABB Power Grids

Múltiples vulnerabilidades en DIAScreen de Delta Electronics

Credenciales embebidas en productos KR C4 de KUKA

Múltiples vulnerabilidades de G-Cam E2 y G-Code de Geutebrück

Denegación de servicio en productos Mitsubishi Electric