【漏洞预警】Delta Electronics DIAEnergie SQL注入漏洞(CVE-2022-26836)
01
漏洞描述
DeltaElectronics DIAEnergie工业能源管理系统使公司能够通过手动干预和自动化控制,使用数据采集,系统分析,故障排除和节能诊断,可视化和改进其电力和电力系统,特别是高能耗设备。该系统有助于实时监控和分析能源消耗,计算能源消耗和负载特性,优化设备性能,增强生产过程并最大限度地提高能源效率。DIAEnergie系统为制定能源管理战略和创建有效的能源控制框架提供了基础,以提高企业的能源效率并降低其整体运营成本。Delta ElectronicsDIAEnergie(1.8.02.004 之前的所有版本)在 HandlerExport.ashx/Calendar 中存在盲 SQL 注入漏洞。这允许攻击者注入任意 SQL 查询、检索和修改数据库内容以及执行系统命令。
02
漏洞危害
Delta Electronics DIAEnergie存在SQL注入漏洞,该漏洞源于HandlerExport.ashx/Calendar中缺少对外部输入SQL语句的验证。攻击者可利用该漏洞注入任意SQL查询、检索和修改数据库内容以及执行系统命令。
03
影响范围
DeltaElectronics DIAEnergie <=1.8.02.004
04
漏洞等级
高危
05
修复方案
厂商已发布了漏洞修复程序,请及时关注更新:
https://www.deltaww.com/
END