ICS-CERT informuje o podatnościach w produktach firmy Delta Electronics. (P24-143)

Produkt	DIAEnergie: Wersje v1.10.00.005
Numer CVE	CVE-2024-34031
Krytyczność	8,8/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	Delta Electronics DIAEnergie jest podatna na lukę w zabezpieczeniach polegającą na wstrzykiwaniu kodu SQL, która występuje w skrypcie Handler_CFG.ashx. Uwierzytelniony atakujący może wykorzystać ten problem do potencjalnego naruszenia bezpieczeństwa systemu, w którym wdrożono DIAEnergie

Numer CVE	CVE-2024-34032
Krytyczność	8,8/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	Delta Electronics DIAEnergie jest podatna na lukę w zabezpieczeniach polegającą na wstrzykiwaniu SQL, która występuje w punkcie końcowym GetDIACloudList. Uwierzytelniony atakujący może wykorzystać ten problem do potencjalnego naruszenia bezpieczeństwa systemu, w którym wdrożono DIAEnergie.

Numer CVE	CVE-2024-34033
Krytyczność	8,8/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	Delta Electronics DIAEnergie ma niewystarczającą walidację danych wejściowych, co umożliwia przeprowadzenie ataku polegającego na przekroczeniu ścieżki i zapis poza zamierzonym katalogiem. Jeśli zostanie określona nazwa pliku, która już istnieje w systemie plików, oryginalny plik zostanie nadpisany.

Aktualizacja	TAK
Link	https://www.cisa.gov/news-events/ics-advisories/icsa-24-123-02