CRITICAL✓ PATCH🇬🇧 English

CVE-2024-43699

SQL Injection w Delta Electronics DIAEnergie — dostęp do danych bez uwierzytelnienia

CVSS 9.3v4.0pub. 2024-10-03upd. 2024-10-08

Delta Electronics DIAEnergie zawiera podatność typu SQL injection w skrypcie AM_RegReport.aspx, umożliwiającą nieuwierzytelnionemu atakującemu dostęp do danych systemu. Podatność jest krytyczna ze względu na brak wymogu uwierzytelnienia i możliwość bezpośredniego odczytu rekordów z bazy danych.

Pokaż oryginał (EN)

Delta Electronics DIAEnergie is vulnerable to an SQL injection in the script AM_RegReport.aspx. An unauthenticated attacker may be able to exploit this issue to obtain records contained in the targeted product.

🤖 Analiza AI
Jak działa

Atakujący może wysłać spreparowane zapytanie HTTP do skryptu AM_RegReport.aspx, wstrzykując złośliwy kod SQL bez konieczności posiadania jakichkolwiek poświadczeń. Aplikacja nie filtruje prawidłowo danych wejściowych przekazywanych do zapytań bazodanowych, co pozwala na manipulowanie logiką zapytań SQL. W efekcie możliwe jest odczytanie zawartości rekordów przechowywanych w docelowym systemie.

Skutki

Nieuwierzytelniony atakujący może uzyskać dostęp do rekordów zawartych w bazie danych systemu DIAEnergie, co może prowadzić do ujawnienia wrażliwych danych operacyjnych lub konfiguracyjnych. Ze względu na charakter systemu (zarządzanie energią), wyciek takich danych może mieć poważne konsekwencje dla bezpieczeństwa infrastruktury.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach naprawionych znajdują się w poradniku CISA ICSA-24-277-03 oraz na stronie Delta Electronics Cybersecurity Advisory. Zaleca się również ograniczenie dostępu sieciowego do interfejsu webowego systemu DIAEnergie wyłącznie do zaufanych hostów.

Kogo dotyczy

Delta Electronics DIAEnergie — wersje wskazane w referencjach producenta (poradnik CISA ICSA-24-277-03 oraz Delta Electronics Cybersecurity Advisory)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Deltaww Diaenergie

    APP
    Deltaww
    ≤ 1.10.01.008
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SQLiAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-4548CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Delta Electronics DIAEnergie via RecalculateHDMWYC

CVE-2024-4547CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Delta Electronics DIAEnergie — nieuwierzytelniony dostęp zdalny

CVE-2022-43775CRITICAL9.8ten sam produkt

The HICT_Loop class in Delta Electronics DIAEnergy v1.9 contains a SQL Injection flaw that could allow an atta...

CVE-2022-43774CRITICAL9.8ten sam produkt

The HandlerPageP_KID class in Delta Electronics DIAEnergy v1.9 contains a SQL Injection flaw that could allow ...

CVE-2022-3214CRITICAL9.8ten sam produkt

Delta Industrial Automation's DIAEnergy, an industrial energy management system, is vulnerable to CWE-798, Use...