Dta: 2022/10/07
Eragindako baliabideak:
- FactoryTalk VantagePoint, firmware bertsio hauetakoa:
- 8.0 baino lehenagokoa,
- 8.0 eta 8.10 bitartean,
- 8.10 eta 8.20 bitartean,
- 8.20 eta 8.30 bitartean,
- 8.30 eta 8.31 bitartean.
Azalpena:
Rockwell Automation-ek larritasun kritikoko bi kalteberatasun jakinarazi dizkio CISAri, sarbide-kontrol desegokikoak eta SQL injekziokoak.
Konponbidea:
• FactoryTalk VantagePoint-eko firmwarea eguneratu hona:
Xehetasunak:
- Eragindako produktuak sarbide-kontrol desegokiak ditu. FactoryTalk VantagePoint SQLServer kontuak aukera eman liezaioke asmo txarreko erabiltzaile pribilegiodun bati SQL sententziak back-end-eko datu-basean exekutatzeko. CVE-2022-38743 identifikatzailea esleitu zaio kalteberatasun horri.
- Eragindako produktuak ez du sarrera-balidaziorik erabiltzaileek SQL adierazpenak sartzen dituztenean back-end-eko datu-baseko informazioa berreskuratzeko. Kalteberatasun horrek aukera eman liezaioke oinarrizko erabiltzaile-pribilegioak dituen erabiltzaile bati zerbitzarian kodea urrunetik exekutatzea. CVE-2022-3158 identifikatzailea esleitu zaio kalteberatasun horri.