Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad SQLi en Contec CHS

Fecha de publicación 03/04/2023
Identificador

INCIBE-2023-0120

Importancia
4 - Alta
Recursos Afectados

CONPROSYS HMI System (CHS), versión 3.5.1.

Descripción

Tenable, en coordinación con JPCERT y el fabricante Contec, ha informado de una vulnerabilidad de severidad alta que afecta a CONPROSYS HMI System (CHS) y cuya explotación podría permitir a un atacante obtener información de la base de datos de CHS.

Solución

Instalar la última versión (3.5.2 o posteriores) disponible en la web de Contect, o restringir el acceso al producto utilizando un cortafuegos como solución provisional si no puede actualizar.

Detalle

Una vulnerabilidad de inyección SQL (SQLi) en el producto afectado podría permitir a un atacante remoto, no autenticado, enumerar el contenido de la base de datos de CHS mediante una sentencia PostgreSQL INSERT, debido a la falta de sanitización de la cabecera X-Forwarded-For. Se ha asignado el identificador CVE-2023-1658 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Contec CONPROSYS HMI System (CHS) Unauthenticated SQLi
Etiquetas