Múltiples vulnerabilidades en productos OPW Fuel Management Systems

Fecha de publicación:

01/09/2017

Importancia:

5 - Crítica

Recursos afectados:

SiteSentinel Integra 100
SiteSentinel Integra 500
SiteSentinel iSite ATG

Las versiones de estos productos afectados por las vulnerabilidades son:

Versiones anteriores a la V175
Versiones entre las V175 y V179, y la V191 y V195
V16Q3.1

Descripción:

El investigador Semen Rozhkov ha identificado ciertas vulnerabilidades cuya explotación puede permitir a un atacante crear una cuenta de usuario en el dispositivo o acceder a la base de datos del mismo.

Solución:

La compañía ha publicado las actualizaciones necesarias para solucionar las vulnerabilidades, además de una guía paso-por-paso de como guardar las configuraciones, como crear un "backup" de la base de datos del dispositivo y de como instalar el nuevo firmware.

Detalle:

Falta de autentificación para funciones críticas: Un atacante puede llegar a crear una cuenta de usuario en el sistema y obtener privilegios de administración. Se ha asignado el identificador CVE2017-12733 para esta vulnerabilidad.
Neutralización incorrecta de elementos especiales usados en una sentencia SQL: A través de esta vulnerabilidad, un atacante puede llegar a realizar una inyección SQL en la base de datos de los sistemas afectados. Se ha asignado el identificador CVE-2017-12731 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-17-243-04) OPW Fuel Management Systems SiteSentinel Integra and SiteSentinel iSite

Etiquetas:

Actualización

Privacidad

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en productos OPW Fuel Management Systems

Control de acceso inapropiado en gateways de ProSoft Technology

Múltiples vulnerabilidades en OpenVPN-Client de PerFact

Evasión de autenticación en múltiples productos de Rockwell Automation

Múltiples vulnerabilidades en FvDesigner de Fatek

Múltiples vulnerabilidades en productos Bosch