CRITICAL🇬🇧 English

CVE-2024-4547

SQL Injection w Delta Electronics DIAEnergie — nieuwierzytelniony dostęp zdalny

CVSS 9.8v3.1pub. 2024-05-06upd. 2025-06-27

W oprogramowaniu Delta Electronics DIAEnergie w wersji v1.10.1.8610 i wcześniejszych istnieje podatność typu SQL Injection (SQLi), umożliwiająca nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań SQL. Ze względu na brak wymogu uwierzytelnienia i sieciowy wektor ataku podatność stanowi krytyczne zagrożenie dla systemów przemysłowych zarządzania energią.

Pokaż oryginał (EN)

A SQLi vulnerability exists in Delta Electronics DIAEnergie v1.10.1.8610 and prior when CEBC.exe processes a 'RecalculateScript' message, which is splitted into 4 fields using the '~' character as the separator. An unauthenticated remote attacker can perform SQLi via the fourth field

🤖 Analiza AI
Jak działa

Proces CEBC.exe obsługuje komunikaty typu 'RecalculateScript', które są dzielone na 4 pola z użyciem znaku '~' jako separatora. Czwarte pole przekazywane w tym komunikacie nie jest odpowiednio walidowane ani sanityzowane, co klasyfikuje podatność jako CWE-20 (niewłaściwa walidacja danych wejściowych) oraz CWE-89 (SQL Injection). Nieuwierzytelniony atakujący zdalnie może spreparować odpowiedni komunikat zawierający złośliwy payload SQL i przesłać go do podatnego procesu, uzyskując możliwość manipulacji bazą danych.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do bazy danych, odczytać, zmodyfikować lub usunąć przechowywane dane, a potencjalnie również przejąć kontrolę nad systemem zarządzania energią, co w środowiskach przemysłowych może prowadzić do poważnych zakłóceń operacyjnych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się aktualizację do wersji wyższej niż v1.10.1.8610. Dodatkowo, do czasu wdrożenia patcha, rekomenduje się ograniczenie dostępu sieciowego do systemu DIAEnergie poprzez firewall oraz izolację systemu w sieci OT/ICS zgodnie z zasadą najmniejszych uprawnień.

Kogo dotyczy

Delta Electronics DIAEnergie w wersji v1.10.1.8610 oraz wszystkich wcześniejszych wersjach.

Uwagi

Podatność została odkryta i zgłoszona przez Tenable Research (raport TRA-2024-13). Produkt DIAEnergie jest stosowany w przemysłowych systemach zarządzania energią, co zwiększa potencjalne skutki eksploatacji w środowiskach OT/ICS.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Deltaww Diaenergie

    APP
    Deltaww
    < 1.10.01.004
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2024-43699CRITICAL9.3PL ✓ten sam produkt

SQL Injection w Delta Electronics DIAEnergie — dostęp do danych bez uwierzytelnienia

CVE-2024-4548CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Delta Electronics DIAEnergie via RecalculateHDMWYC

CVE-2022-43775CRITICAL9.8ten sam produkt

The HICT_Loop class in Delta Electronics DIAEnergy v1.9 contains a SQL Injection flaw that could allow an atta...

CVE-2022-43774CRITICAL9.8ten sam produkt

The HandlerPageP_KID class in Delta Electronics DIAEnergy v1.9 contains a SQL Injection flaw that could allow ...

CVE-2022-3214CRITICAL9.8ten sam produkt

Delta Industrial Automation's DIAEnergy, an industrial energy management system, is vulnerable to CWE-798, Use...