Fecha de publicación: 07/10/2022

Importancia: Crítica

Recursos afectados:

• FactoryTalk VantagePoint con versiones de firmware:
  • anterior a la 8.0,
  • entre la 8.0 y 8.10,
  • entre la 8.10 y 8.20,
  • ​​​​​​​entre la 8.20 y 8.30,
  • entre la 8.30 y 8.31.

Descripción:

Rockwell Automation ha reportado a CISA dos vulnerabilidades de severidad crítica, de control de acceso inadecuado e inyección SQL.

Solución:

• FactoryTalk VantagePoint actualizar el firmware a:
  • v8.0,
  • v8.10,
  • v8.20,
  • v8.30,
  • v8.31.

Detalle:

• El producto afectado tiene controles de acceso inadecuados. La cuenta de FactoryTalk VantagePoint SQLServer podría permitir que un usuario malintencionado con privilegios de solo lectura ejecute sentencias SQL en la base de datos del back-end. Se ha asignado el identificador  CVE-2022-38743 para esta vulnerabilidad.
• El producto afectado carece de validación de entrada cuando los usuarios ingresan declaraciones SQL para recuperar información de la base de datos del back-end. Esta vulnerabilidad podría permitir potencialmente que un usuario con privilegios de usuario básicos realice la ejecución remota de código en el servidor. Se ha asignado el identificador CVE-2022-3158 para esta vulnerabilidad.

Etiquetas: Actualización, Infraestructuras críticas, Vulnerabilidad