Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Inyección SQL en QPLANT de TAI Smart Factory

Fecha15/10/2024
Importancia5 - Crítica
Recursos Afectados

QPLANT SF, versión 1.0.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad critica que afecta a QPLANT de TAI Smart Factory, un sistema de captura y gestión de datos en planta que permite coordinar, distribuir, arbitrar, integrar y representar la información del sistema principal y los elementos de la planta en tiempo real, la cual ha sido descubierta por Adrián Marín Villar.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-9925: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89
Solución

No hay solución reportada por el momento.

Detalle

CVE-2024-9925: vulnerabilidad de inyección SQL en QPLANT de TAI Smart Factory. La explotación de esta vulnerabilidad podría permitir a un atacante remoto recuperar toda la información de la base de datos enviando una consulta SQL especialmente diseñada al parámetro 'email' en el endpoint 'RequestPasswordChange'.

Múltiples vulnerabilidades en productos de Moxa

Fecha15/10/2024
Importancia4 - Alta
Recursos Afectados
  • Versión de firmware 3.12.1 y anteriores de las series EDR 8010, G9004, G9004, G1002-BP.
  • Versión de firmware 1.0.5 y anteriores de la serie NAT-102.
  • Versión de firmware 3.9 y anteriores de la serie OnCell G4302-LTE4.
  • Versión de firmware 3.6 y anteriores de la serie TN-4900.
Descripción

Moxa ha publicado dos vulnerabilidades de severidad alta que podrían permitir manipular las configuraciones de los dispositivos sin autenticación o ejecutar códigos arbitrarios.

Solución

Actualizar a la versión de firmware 3.13

Para el producto Serie NAT-102 se recomienda contactar con el soporte técnico de Moxa.

Detalle

La vulnerabilidad CVE-2024-9137, es de tipo ausencia de autenticación en una función crítica. El producto afectado carece de una comprobación de autenticación al enviar comandos al servidor a través del servicio Moxa. Esto podría permitir a un atacante ejecutar comandos específicos, lo que derivaría en descargas o cargas no autorizadas de archivos de configuración y comprometería el sistema.

La vulnerabilidad CVE-2024-9139, es de tipo inyección de comandos en el sistema operativo, por lo que un atacante podría ejecutar código arbitrario.