Inyección SQL en IntegraXor de Ecava

Fecha de publicación:

01/02/2017

Importancia:

4 - Alta

Recursos afectados:

IntegraXor Versión 5.0.413.0

Descripción:

Los investigadores independientes Brian Gorenc y Juan Pablo Lopez trabajando con Zero Day Initiative de Trend Micro han identificado una vulnerabilidad de tipo inyección SQL que afecta al SCADA web IntegraXor del fabricante Ecava. La explotación exitosa de esta vulnerabilidad podría llevar a la fuga de datos, la manipulación de dato o la ejecución remota de código.

Solución:

Ecava ha desarrollado la versión V5.2.722.2 para actualizar IntegraXor, esta versión soluciona la vulnerabilidad.

Detalle:

El servidor web de IntegraXor tiene parámetros que son vulnerables a una inyección SQL. Si las consultas no son correctamente verificadas y controladas, la base de datos del equipo puede ser objeto de comandos de lectura, escritura y borrado. Esta vulnerabilidad puede ser explotada de forma remota. Se ha reservado el identificador CVE-2016-8341 para esta vulnerabilidad.

Referencias:

Ecava IntegraXor

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Inyección SQL en IntegraXor de Ecava

Múltiples vulnerabilidades en productos de Phoenix Contact

Vulnerabilidad de desbordamiento de búfer en WebAccess de Advantech

Múltiples vulnerabilidades en productos de Codesys V3

Credenciales insuficientemente protegidas en comunicaciones de clientes .NET y Java en OPC UA

Múltiples vulnerabilidades en equipamiento VBASE de VISAM