Dta: 2022/10/07

Eragindako baliabideak:

• FactoryTalk VantagePoint, firmware bertsio hauetakoa: 
  • 8.0 baino lehenagokoa,
  • 8.0 eta 8.10 bitartean,
  • 8.10 eta 8.20 bitartean,
  • 8.20 eta 8.30 bitartean,
  • 8.30 eta 8.31 bitartean.

Azalpena:

Rockwell Automation-ek larritasun kritikoko bi kalteberatasun jakinarazi dizkio CISAri, sarbide-kontrol desegokikoak eta SQL injekziokoak.

Konponbidea:

• FactoryTalk VantagePoint-eko firmwarea eguneratu hona: 

• v8.0,
• v8.10,
• v8.20,
• v8.30,
• v8.31.

Xehetasunak:

• Eragindako produktuak sarbide-kontrol desegokiak ditu. FactoryTalk VantagePoint SQLServer kontuak aukera eman liezaioke asmo txarreko erabiltzaile pribilegiodun bati SQL sententziak back-end-eko datu-basean exekutatzeko. CVE-2022-38743 identifikatzailea esleitu zaio kalteberatasun horri.
• Eragindako produktuak ez du sarrera-balidaziorik erabiltzaileek SQL adierazpenak sartzen dituztenean back-end-eko datu-baseko informazioa berreskuratzeko. Kalteberatasun horrek aukera eman liezaioke oinarrizko erabiltzaile-pribilegioak dituen erabiltzaile bati zerbitzarian kodea urrunetik exekutatzea. CVE-2022-3158 identifikatzailea esleitu zaio kalteberatasun horri.