W oprogramowaniu Delta Electronics DIAEnergie w wersji v1.10.1.8610 i wcześniejszych istnieje podatność typu SQL Injection (SQLi), umożliwiająca nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań SQL. Ze względu na brak wymogu uwierzytelnienia i sieciowy wektor ataku podatność stanowi krytyczne zagrożenie dla systemów przemysłowych zarządzania energią.
▸ Pokaż oryginał (EN)
A SQLi vulnerability exists in Delta Electronics DIAEnergie v1.10.1.8610 and prior when CEBC.exe processes a 'RecalculateScript' message, which is splitted into 4 fields using the '~' character as the separator. An unauthenticated remote attacker can perform SQLi via the fourth field
Proces CEBC.exe obsługuje komunikaty typu 'RecalculateScript', które są dzielone na 4 pola z użyciem znaku '~' jako separatora. Czwarte pole przekazywane w tym komunikacie nie jest odpowiednio walidowane ani sanityzowane, co klasyfikuje podatność jako CWE-20 (niewłaściwa walidacja danych wejściowych) oraz CWE-89 (SQL Injection). Nieuwierzytelniony atakujący zdalnie może spreparować odpowiedni komunikat zawierający złośliwy payload SQL i przesłać go do podatnego procesu, uzyskując możliwość manipulacji bazą danych.
Atakujący może uzyskać nieautoryzowany dostęp do bazy danych, odczytać, zmodyfikować lub usunąć przechowywane dane, a potencjalnie również przejąć kontrolę nad systemem zarządzania energią, co w środowiskach przemysłowych może prowadzić do poważnych zakłóceń operacyjnych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się aktualizację do wersji wyższej niż v1.10.1.8610. Dodatkowo, do czasu wdrożenia patcha, rekomenduje się ograniczenie dostępu sieciowego do systemu DIAEnergie poprzez firewall oraz izolację systemu w sieci OT/ICS zgodnie z zasadą najmniejszych uprawnień.
Delta Electronics DIAEnergie w wersji v1.10.1.8610 oraz wszystkich wcześniejszych wersjach.
Podatność została odkryta i zgłoszona przez Tenable Research (raport TRA-2024-13). Produkt DIAEnergie jest stosowany w przemysłowych systemach zarządzania energią, co zwiększa potencjalne skutki eksploatacji w środowiskach OT/ICS.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDeltaww Diaenergie
APPDeltaww< 1.10.01.004
Powiązane podatności
SQL Injection w Delta Electronics DIAEnergie — dostęp do danych bez uwierzytelnienia
SQL Injection w Delta Electronics DIAEnergie via RecalculateHDMWYC
The HICT_Loop class in Delta Electronics DIAEnergy v1.9 contains a SQL Injection flaw that could allow an atta...
The HandlerPageP_KID class in Delta Electronics DIAEnergy v1.9 contains a SQL Injection flaw that could allow ...
Delta Industrial Automation's DIAEnergy, an industrial energy management system, is vulnerable to CWE-798, Use...