Inyección SQL en Emerson AMS Device Manager

Fecha de publicación:

22/05/2015

Importancia:

2 - Baja

Recursos afectados:

AMS Device Manager v12.5 y anteriores

Descripción:

Se ha descubierto una vulnerabilidad de inyección SQL en AMS Device Manager de Emerson.

Solución:

Para la versión v12.5, aplicar el parche disponible en la web de Emerson, actualizar a la versión v13, o aplicar la solución alternativa para versiones anteriores a la v12.5 explicada en el siguiente párrafo.

Para versiones anteriores a v12.5, añadir un segundo usuario con permisos de administración, y marcar como sólo lectura el administrador por defecto.

Detalle:

Proporcionando una cadena malformada al AMS Device Manager, un atacante podría conseguir acceso administrativo a la aplicación y a sus datos, pero no al sistema donde está instalado.

Se ha reservado el identificador CVE-2015-1008 para esta vulnerabilidad.

Referencias:

Emerson AMS Device Manager SQL Injection Vulnerability

Etiquetas:

Vulnerabilidad

SCADA

Accesos corporativos

Inyección SQL en Emerson AMS Device Manager

Acceso a información sensible en sistemas PLC para remolques

Múltiples vulnerabilidades en Delta Industrial Automation TPEditor

Múltiples vulnerabilidades en WebAccess HMI Designer de Advantech

Vulnerabilidad de neutralización inadecuada en G-Cam y G-Code de Geutebrück

Múltiples vulnerabilidades en Industrial Automation CNCSoft ScreenEditor de Delta Electronics