[Actualización 17/10/2024] Inyección SQL en QPLANT de TAI Smart Factory
QPLANT SF, versión 1.0.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad critica que afecta a QPLANT de TAI Smart Factory, un sistema de captura y gestión de datos en planta que permite coordinar, distribuir, arbitrar, integrar y representar la información del sistema principal y los elementos de la planta en tiempo real, la cual ha sido descubierta por Adrián Marín Villar.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2024-9925: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89
No hay solución reportada por el momento.
[Actualización 17/10/2024]
Se corrige la vulnerabilidad en todas las versiones operativas, por lo que a partir del 17/10/2024, la versión actual distribuida y las actualizaciones de las existentes tienen resuelta dicha vulnerabilidad.
CVE-2024-9925: vulnerabilidad de inyección SQL en QPLANT de TAI Smart Factory. La explotación de esta vulnerabilidad podría permitir a un atacante remoto recuperar toda la información de la base de datos enviando una consulta SQL especialmente diseñada al parámetro 'email' en el endpoint 'RequestPasswordChange'.
