Múltiples vulnerabilidades en FactoryTalk VantagePoint de Rockwell Automation

Fecha de publicación 07/10/2022
Importancia
5 - Crítica
Recursos Afectados
  • FactoryTalk VantagePoint con versiones de firmware:
    • anterior a la 8.0,
    • entre la 8.0 y 8.10,
    • entre la 8.10 y 8.20,
    • ​​​​​​​entre la 8.20 y 8.30,
    • entre la 8.30 y 8.31.
Descripción

Rockwell Automation ha reportado a CISA dos vulnerabilidades de severidad crítica, de control de acceso inadecuado e inyección SQL.

Solución
Detalle
  • El producto afectado tiene controles de acceso inadecuados. La cuenta de FactoryTalk VantagePoint SQLServer podría permitir que un usuario malintencionado con privilegios de solo lectura ejecute sentencias SQL en la base de datos del back-end. Se ha asignado el identificador  CVE-2022-38743 para esta vulnerabilidad.
  • El producto afectado carece de validación de entrada cuando los usuarios ingresan declaraciones SQL para recuperar información de la base de datos del back-end. Esta vulnerabilidad podría permitir potencialmente que un usuario con privilegios de usuario básicos realice la ejecución remota de código en el servidor. Se ha asignado el identificador CVE-2022-3158 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Aviso de ICS (ICSA-22-279-01) FactoryTalk VantagePoint de Rockwell Automation
Etiquetas