Система управления гидросистемой уязвима к внедрению SQL-кода в большинство сценариев и входных параметров. Поскольку никакой защиты не предусмотрено, злоумышленник, прошедший проверку подлинности, может ввести произвольные команды SQL, потенциально получив полный контроль над базой данных. Эта проблема была исправлена в версии 9.8.5 системы управления гидросистемой.
Показать оригинальное описание (EN)
Hydrosystem Control System is vulnerable to SQL Injection across most scripts and input parameters. Because no protections are in place, an authenticated attacker can inject arbitrary SQL commands, potentially gaining full control over the database.This issue was fixed in Hydrosystem Control System version 9.8.5
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0