Inyección SQL en Aanderaa GeoView de Xylem

Fecha de publicación:

01/12/2021

Importancia:

4 - Alta

Recursos afectados:

Servicio web de AADI GeoView: todas las versiones anteriores a la 2.1.3.

Descripción:

Xylem informó de esta vulnerabilidad a CISA, por la que un atacante podría manipular el servidor de la base de datos.

Solución:

Software como servicio (SaaS)/usuarios de la nube: Xylem ha solucionado esta vulnerabilidad. No se requiere ninguna acción.
Usuarios locales: Xylem recomienda a los usuarios locales que actualicen a la versión 2.1.3 de AADI GeoView Webservice.

Para obtener más detalles, consulta el aviso de seguridad de productos de Xylem XSA-2021-003.

Detalle:

El producto afectado es vulnerable a la inyección SQL, lo que podría permitir a un atacante no autenticado realizar la invocación de consultas para manipular el servidor de la base de datos Aanderaa GeoView. Se ha asignado el identificador CVE-2021-41063 para esta vulnerabilidad.

Referencias:

ICS Advisory (ICSA-21-334-01) Xylem Aanderaa GeoView

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Inyección SQL en Aanderaa GeoView de Xylem

Autorización inadecuada en Sequi PortBloque S

Cifrado débil en productos LS Electric

Múltiples vulnerabilidades en Softing Secure Integration Server

Múltiples vulnerabilidades en Emerson Proficy Machine Edition

Validación de entrada incorrecta en B&R Industrial Automation Automation Studio 4