U.motion Builder

Die Schwachstelle betrifft die Software U.motion Builder von Schneider Electric, die zur Konfiguration von Gebäudeautomations- und Steuerungssystemen dient. Es handelt sich um eine SQL-Injection: Die Anwendung verarbeitet vom Benutzer übergebene Eingaben nicht ausreichend, sodass eine unzulässige Zeichenfolge in eine Datenbankabfrage hineinwirken kann. Über diesen Weg lässt sich nicht nur die Datenbank manipulieren, sondern es kann auch ungewollt fremder Code zur Ausführung gebracht werden. Ein Angreifer kann durch gezielt präparierte Eingaben also über die eigentliche Datenabfrage hinausgehen und Aktionen auf dem System auslösen. Betroffen sind Umgebungen, in denen diese Builder-Software noch im Einsatz ist. Da das Produkt der Gebäudesteuerung dient und vom Hersteller nicht mehr unterstützt wird, bestehen für die zugrunde liegende Lücke keine regulären Korrekturen mehr, was den exponierten Einsatz besonders heikel macht.