CRITICAL🇬🇧 English

CVE-2024-0857

SQL Injection w FlexWater Corporate Water Management (Universal Software)

CVSS 9.8v3.1pub. 2024-07-18upd. 2026-06-03

W systemie FlexWater Corporate Water Management firmy Universal Software Inc. wykryto krytyczną podatność typu SQL Injection (CWE-89), umożliwiającą nieautoryzowanemu atakującemu manipulację bazą danych. Podatność otrzymała ocenę CVSS 9.8, co czyni ją zagrożeniem wymagającym pilnej reakcji.

Pokaż oryginał (EN)

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Universal Software Inc. FlexWater Corporate Water Management allows SQL Injection. This issue affects FlexWater Corporate Water Management: before 5.452.0.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych przekazywanych do zapytań SQL — aplikacja nie filtruje ani nie parametryzuje danych wejściowych użytkownika przed ich użyciem w poleceniach bazodanowych. Atakujący zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, może wstrzykiwać dowolne polecenia SQL poprzez sieć. Pozwala to na odczyt, modyfikację lub usunięcie danych przechowywanych w bazie systemu zarządzania wodą.

Skutki

Atakujący może uzyskać pełny dostęp do bazy danych (poufność, integralność, dostępność), co w kontekście systemu zarządzania infrastrukturą wodną może oznaczać kradzież danych operacyjnych, modyfikację konfiguracji lub całkowite unieruchomienie systemu.

Mitygacja

Należy zaktualizować FlexWater Corporate Water Management do wersji 5.452.0 lub nowszej. Szczegółowe informacje dostępne w komunikacie bezpieczeństwa USOM pod adresem https://www.usom.gov.tr/bildirim/tr-24-1011

Kogo dotyczy

FlexWater Corporate Water Management w wersjach przed 5.452.0 (producent: Universal Software Inc.)

Uwagi

Podatność dotyczy systemu klasy OT/ICS zarządzającego infrastrukturą wodociągową — atak może mieć potencjalne skutki dla infrastruktury krytycznej. Zgłoszenie pochodzi od tureckiego organu ds. cyberbezpieczeństwa (USOM/TR-CERT), sygnatura TR-24-1011.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Uni Yaz Flexwater Corporate Water Management

    APP
    Uni-Yaz
    < 5.452.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-14349HIGH8.8ten sam vendor

Privilege Defined With Unsafe Actions, Missing Authentication for Critical Function vulnerability in Universal...

CVE-2026-1618HIGH8.8ten sam vendor

Authentication Bypass Using an Alternate Path or Channel vulnerability in Universal Software Inc. FlexCity/Kio...

CVE-2026-1619HIGH8.3ten sam vendor

Authorization Bypass Through User-Controlled Key vulnerability in Universal Software Inc. FlexCity/Kiosk allow...