Múltiples vulnerabilidades en productos OPW Fuel Management Systems
Fecha de publicación:
01/09/2017
Importancia:
5 -
Crítica
Recursos afectados:
- SiteSentinel Integra 100
- SiteSentinel Integra 500
- SiteSentinel iSite ATG
Las versiones de estos productos afectados por las vulnerabilidades son:
- Versiones anteriores a la V175
- Versiones entre las V175 y V179, y la V191 y V195
- V16Q3.1
Descripción:
El investigador Semen Rozhkov ha identificado ciertas vulnerabilidades cuya explotación puede permitir a un atacante crear una cuenta de usuario en el dispositivo o acceder a la base de datos del mismo.
Solución:
La compañía ha publicado las actualizaciones necesarias para solucionar las vulnerabilidades, además de una guía paso-por-paso de como guardar las configuraciones, como crear un "backup" de la base de datos del dispositivo y de como instalar el nuevo firmware.
Detalle:
- Falta de autentificación para funciones críticas: Un atacante puede llegar a crear una cuenta de usuario en el sistema y obtener privilegios de administración. Se ha asignado el identificador CVE2017-12733 para esta vulnerabilidad.
- Neutralización incorrecta de elementos especiales usados en una sentencia SQL: A través de esta vulnerabilidad, un atacante puede llegar a realizar una inyección SQL en la base de datos de los sistemas afectados. Se ha asignado el identificador CVE-2017-12731 para esta vulnerabilidad.
Referencias:
Etiquetas: