Delta Electronics DIAEnergie zawiera podatność typu SQL injection w skrypcie AM_RegReport.aspx, umożliwiającą nieuwierzytelnionemu atakującemu dostęp do danych systemu. Podatność jest krytyczna ze względu na brak wymogu uwierzytelnienia i możliwość bezpośredniego odczytu rekordów z bazy danych.
▸ Pokaż oryginał (EN)
Delta Electronics DIAEnergie is vulnerable to an SQL injection in the script AM_RegReport.aspx. An unauthenticated attacker may be able to exploit this issue to obtain records contained in the targeted product.
Atakujący może wysłać spreparowane zapytanie HTTP do skryptu AM_RegReport.aspx, wstrzykując złośliwy kod SQL bez konieczności posiadania jakichkolwiek poświadczeń. Aplikacja nie filtruje prawidłowo danych wejściowych przekazywanych do zapytań bazodanowych, co pozwala na manipulowanie logiką zapytań SQL. W efekcie możliwe jest odczytanie zawartości rekordów przechowywanych w docelowym systemie.
Nieuwierzytelniony atakujący może uzyskać dostęp do rekordów zawartych w bazie danych systemu DIAEnergie, co może prowadzić do ujawnienia wrażliwych danych operacyjnych lub konfiguracyjnych. Ze względu na charakter systemu (zarządzanie energią), wyciek takich danych może mieć poważne konsekwencje dla bezpieczeństwa infrastruktury.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach naprawionych znajdują się w poradniku CISA ICSA-24-277-03 oraz na stronie Delta Electronics Cybersecurity Advisory. Zaleca się również ograniczenie dostępu sieciowego do interfejsu webowego systemu DIAEnergie wyłącznie do zaufanych hostów.
Delta Electronics DIAEnergie — wersje wskazane w referencjach producenta (poradnik CISA ICSA-24-277-03 oraz Delta Electronics Cybersecurity Advisory)
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XDeltaww Diaenergie
APPDeltaww≤ 1.10.01.008
Powiązane podatności
SQL Injection w Delta Electronics DIAEnergie via RecalculateHDMWYC
SQL Injection w Delta Electronics DIAEnergie — nieuwierzytelniony dostęp zdalny
The HICT_Loop class in Delta Electronics DIAEnergy v1.9 contains a SQL Injection flaw that could allow an atta...
The HandlerPageP_KID class in Delta Electronics DIAEnergy v1.9 contains a SQL Injection flaw that could allow ...
Delta Industrial Automation's DIAEnergy, an industrial energy management system, is vulnerable to CWE-798, Use...