Múltiples vulnerabilidades en productos OPW Fuel Management Systems

Fecha de publicación: 
01/09/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • SiteSentinel Integra 100
  • SiteSentinel Integra 500
  • SiteSentinel iSite ATG

Las versiones de estos productos afectados por las vulnerabilidades son:

  • Versiones anteriores a la V175
  • Versiones entre las V175 y V179, y la V191 y V195
  • V16Q3.1
Descripción: 

El investigador Semen Rozhkov ha identificado ciertas vulnerabilidades cuya explotación puede permitir a un atacante crear una cuenta de usuario en el dispositivo o acceder a la base de datos del mismo.

Solución: 

La compañía ha publicado las actualizacines necesarias para solucionar las vulnerabilidades, además de una guía paso-por-paso de como guardar las configuraciones, como crear un "backup" de la base de datos del dispositivo y de como instalar el nuevo firmware.

Detalle: 
  • Falta de autentificación para funciones críticas: Un atacante puede llegar a crear una cuenta de usuario en el sistema y obtener privilegios de adminstración. Se ha asignado el identificador CVE2017-12733 para esta vulnerabilidad.
  • Neutralización incorrecta de elementos especiales usados en una sentencia SQL: A través de esta vulnerabilidad, un atacante puede llegar a realizar una inyección SQL en la base de datos de los sistemas afectados. Se ha asignado el identificador CVE-2017-12731 para esta vulnerabilidad.