Introducció
INCIBE ha coordinat la publicació d’una vulnerabilitat de severitat critica que afecta a QPLANT de TAI Smart Factory, un sistema de captura i gestió de dades en planta que permet coordinar, distribuir, arbitrar, integrar i representar la informació del sistema principal i els elements de la planta en temps real, la qual ha sigut descoberta per Adrián Marín Villar.[1]
Anàlisi
La vulnerabilitat crítique trobada és la següent:
- CVE-2024-9925 – Neutralització incorrecta d’elements especials usats en un comando SQL (Injecció SQL) (CWE-89):
L’explotació d’esta vulnerabilitat podria permetre a un atacant remot recuperar tota la informació de la base de dades enviant una consulta SQL especialment dissenyada al paràmetre ’email’ en el endpoint ‘RequestPasswordChange’.
- CVE-2024-9925 – Neutralització incorrecta d’elements especials usats en un comando SQL (Injecció SQL) (CWE-89):
La sèrie de productes afectats és:
- QPLANT SF, versió 1.0
Recomanacions
No hi ha solució reportada de moment.
Referències
[1] Página web de TAI Smart Factory