Introducción
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad critica que afecta a QPLANT de TAI Smart Factory, un sistema de captura y gestión de datos en planta que permite coordinar, distribuir, arbitrar, integrar y representar la información del sistema principal y los elementos de la planta en tiempo real, la cual ha sido descubierta por Adrián Marín Villar.[1]
Análisis
La vulnerabilidad crítica encontrada es la siguiente:
- CVE-2024-9925 – Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL) (CWE-89):
La explotación de esta vulnerabilidad podría permitir a un atacante remoto recuperar toda la información de la base de datos enviando una consulta SQL especialmente diseñada al parámetro ‘email’ en el endpoint ‘RequestPasswordChange’.
- CVE-2024-9925 – Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL) (CWE-89):
La serie de productos afectados es:
- QPLANT SF, versión 1.0
Recomendaciones
No hay solución reportada por el momento.
Referencias
[1] Página web de TAI Smart Factory