PT-2020-13001 · Rockwell Automation · Studio 5000 Logix Designer+4
Publicado
2020-05-20
·
Atualizado
2020-05-25
·
CVE-2020-12034
CVSS v3.1
8.2
Alta
| Vetor | AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões 6.00 a 6.11 do software FactoryTalk Linx
Versão 4.11.00 e anteriores do RSLinx Classic
Versão 28.00.00 e anteriores do software RSNetWorx
Versão 32 e anteriores do software Studio 5000 Logix Designer
Subsistema EDS versão 28.0.1 e anteriores
Descrição
O subsistema EDS não oferece sanitização adequada de entradas, o que pode permitir que um invasor crie arquivos EDS especializados para injetar consultas SQL e manipular o banco de dados que armazena os arquivos EDS. Isso pode levar a condições de negação de serviço.
Recomendações
Para as versões 6.00 a 6.11 do software FactoryTalk Linx, atualize para uma versão posterior à 6.11 para resolver o problema.
Para a versão 4.11.00 e anteriores do RSLinx Classic, atualize para uma versão posterior à 4.11.00 para resolver o problema.
Para o software RSNetWorx versão 28.00.00 e anteriores, atualize para uma versão posterior à 28.00.00 para resolver o problema.
Para o software Studio 5000 Logix Designer versão 32 e anteriores, atualize para uma versão posterior à 32 para resolver o problema.
Para o EDS Subsystem versão 28.0.1 e anteriores, atualize para uma versão posterior à 28.0.1 para resolver o problema.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eds Subsystem
Factorytalk Linx
Rslinx Classic
Rsnetworx
Studio 5000 Logix Designer