Vulnerabilidad SQLi en Contec CHS
CONPROSYS HMI System (CHS), versión 3.5.1.
Tenable, en coordinación con JPCERT y el fabricante Contec, ha informado de una vulnerabilidad de severidad alta que afecta a CONPROSYS HMI System (CHS) y cuya explotación podría permitir a un atacante obtener información de la base de datos de CHS.
Instalar la última versión (3.5.2 o posteriores) disponible en la web de Contect, o restringir el acceso al producto utilizando un cortafuegos como solución provisional si no puede actualizar.
Una vulnerabilidad de inyección SQL (SQLi) en el producto afectado podría permitir a un atacante remoto, no autenticado, enumerar el contenido de la base de datos de CHS mediante una sentencia PostgreSQL INSERT, debido a la falta de sanitización de la cabecera X-Forwarded-For. Se ha asignado el identificador CVE-2023-1658 para esta vulnerabilidad.
