Múltiples vulnerabilidades en productos OPW Fuel Management Systems

Fecha de publicación:

01/09/2017

Importancia:

5 - Crítica

Recursos afectados:

SiteSentinel Integra 100
SiteSentinel Integra 500
SiteSentinel iSite ATG

Las versiones de estos productos afectados por las vulnerabilidades son:

Versiones anteriores a la V175
Versiones entre las V175 y V179, y la V191 y V195
V16Q3.1

Descripción:

El investigador Semen Rozhkov ha identificado ciertas vulnerabilidades cuya explotación puede permitir a un atacante crear una cuenta de usuario en el dispositivo o acceder a la base de datos del mismo.

Solución:

La compañía ha publicado las actualizaciones necesarias para solucionar las vulnerabilidades, además de una guía paso-por-paso de como guardar las configuraciones, como crear un "backup" de la base de datos del dispositivo y de como instalar el nuevo firmware.

Detalle:

Falta de autentificación para funciones críticas: Un atacante puede llegar a crear una cuenta de usuario en el sistema y obtener privilegios de administración. Se ha asignado el identificador CVE2017-12733 para esta vulnerabilidad.
Neutralización incorrecta de elementos especiales usados en una sentencia SQL: A través de esta vulnerabilidad, un atacante puede llegar a realizar una inyección SQL en la base de datos de los sistemas afectados. Se ha asignado el identificador CVE-2017-12731 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-17-243-04) OPW Fuel Management Systems SiteSentinel Integra and SiteSentinel iSite

Etiquetas:

Actualización

Privacidad

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en productos OPW Fuel Management Systems

Múltiples vulnerabilidades en varios productos de General Electric

Múltiples vulnerabilidades en productos MB connect line

Múltiples vulnerabilidades en Philips Clinical Collaboration Platform

Múltiples vulnerabilidades en CodeMeter de Wibu Systems

Vulnerabilidad en WebAccess Node de Advantech