Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en FactoryTalk VantagePoint de Rockwell Automation

Múltiples vulnerabilidades en FactoryTalk VantagePoint de Rockwell Automation

Fecha de publicación: 
07/10/2022
Identificador: 
INCIBE-2022-0954
Importancia: 
5 - Crítica
Recursos afectados: 
  • FactoryTalk VantagePoint con versiones de firmware:
    • anterior a la 8.0,
    • entre la 8.0 y 8.10,
    • entre la 8.10 y 8.20,
    • ​​​​​​​entre la 8.20 y 8.30,
    • entre la 8.30 y 8.31.
Descripción: 

Rockwell Automation ha reportado a CISA dos vulnerabilidades de severidad crítica, de control de acceso inadecuado e inyección SQL.

Solución: 
Detalle: 
  • El producto afectado tiene controles de acceso inadecuados. La cuenta de FactoryTalk VantagePoint SQLServer podría permitir que un usuario malintencionado con privilegios de solo lectura ejecute sentencias SQL en la base de datos del back-end. Se ha asignado el identificador  CVE-2022-38743 para esta vulnerabilidad.
  • El producto afectado carece de validación de entrada cuando los usuarios ingresan declaraciones SQL para recuperar información de la base de datos del back-end. Esta vulnerabilidad podría permitir potencialmente que un usuario con privilegios de usuario básicos realice la ejecución remota de código en el servidor. Se ha asignado el identificador CVE-2022-3158 para esta vulnerabilidad.

Encuesta valoración