Security
Headlines
HeadlinesLatestCVEs

Headline

CVE-2023-24253: Security Advisory: Domotica Labs - IKON SERVER

Domotica Labs srl Ikon Server before v2.8.6 was discovered to contain a SQL injection vulnerability.

CVE
Open in Source
#sql#vulnerability#web#git#intel#php#auth#dell

L’Offensive Security Team di Swascan ha identificato una vulnerabilità di tipo SQL Injection (unauthenticated) con una severity pari a 7.5 (High) sul prodotto dell’azienda Domotica Labs, IKON SERVER ver. 2.8.6

Domotica Labs

Domotica Labs è un’azienda italiana specializzata nello sviluppo di soluzioni di supervisione e controllo, apparati IOT e applicazioni cloud per la gestione di edifici ed impianti intelligenti.

Sempre parte del portfolio aziendale è la produzione di dispositivi embedded, firmware, app e soluzioni cloud in ambito internet of things e industria 4.0.

Azienda molto attenta e sensibile alle problematiche di sicurezza e la ringraziamo per la collaborazione durante la fase di responsible disclosure.

Descrizione del prodotto vulnerabile

IKON SERVER è un web server di supervisione in grado di interagire con numerose tecnologie sia standard sia proprietarie, per offrire un unico ambiente di gestione per domotica, impianti tecnologici e termotecnici, sicurezza e multimedialità.

Technical summary

L’Offensive Security Team di Swascan ha rilevato alcune importanti vulnerabilità su: iKON SERVER ver. 2.8.6

Vulnerability

CVSSv3.1

CVSSv3.1 Base Score

SQL Injection (unauthenticated)

7.5 High

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Una SQL injection è un tipo di attacco informatico in cui un attaccante inserisce codice SQL maligno in una query, al fine di manipolare il database per acquisire informazioni riservate o per causare danni.Questo tipo di attacco sfrutta vulnerabilità nell’architettura delle applicazioni web che utilizzano query SQL per interagire con i database.

Terminato l’iter di responsible vulnerability disclosure, in pieno accordo con Domotica Labs, Swascan ha scelto di non divulgare i dettagli tecnici della vulnerabilità.

Considerazioni finali

Swascan ringrazia Domotica Labs per la loro collaborazione nella gestione del disclosure, per il loro impegno nel garantire la massima resilienza di prodotti e soluzioni e per grande professionalità dimostrata durante tutte le fasi del processo.

Remediation

Si consiglia di aggiornare all’ultima versione disponibile.

Riferimenti

https://www.owasp.org/index.php/SQL_Injection

https://cwe.mitre.org/data/definitions/89.html

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.md

https://owasp.org/Top10/A03_2021-Injection/

https://www.domoticalabs.com/article/come-aggiornare-ikon-server

Disclosure Timeline

  • 13-04-2022: Vulnerabilities discovered
  • 19-04-2022: Vendor contacted by email (1st time, responded 21/04/2022)
  • 11-05-2022: Vendor patched
  • 16-01-2023: Swascan disclosed

CVE: Latest News

CVE-2023-50976: Transactions API Authorization by oleiman · Pull Request #14969 · redpanda-data/redpanda
CVE
CVE-2023-6905
CVE
CVE-2023-6903
CVE
CVE-2023-6904
CVE
CVE-2023-3907
CVE