A flaw has been found in Acrel Electrical ECEMS Enterprise Microgrid Energy Efficiency Management System 1.3.0. The impacted element is an unknown function of the file /SubstationWEBV2/main/elecMaxMinAvgValue. Executing a manipulation of the argument fCircuitids can lead to sql injection. The attack can be launched remotely. The exploit has been published and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
Acrel ECEMS 1.3.0 contains a SQL injection vulnerability in the /SubstationWEBV2/main/elecMaxMinAvgValue endpoint via the fCircuitids parameter, allowing remote code execution. The vulnerability is exploitable and publicly disclosed with no vendor response.
ثغرة حقن SQL في نظام إدارة كفاءة الطاقة الميكروجريد Acrel ECEMS الإصدار 1.3.0 تؤثر على دالة غير معروفة في ملف /SubstationWEBV2/main/elecMaxMinAvgValue. يمكن للمهاجمين البعيدين استغلال معامل fCircuitids لتنفيذ استعلامات SQL عشوائية والوصول إلى قاعدة البيانات. الثغرة مكشوفة علناً ولم يستجب المورد للإفصاح المسؤول.
نظام Acrel ECEMS الإصدار 1.3.0 يحتوي على ثغرة حقن SQL في نقطة النهاية /SubstationWEBV2/main/elecMaxMinAvgValue عبر معامل fCircuitids، مما يسمح بتنفيذ أوامر بعيدة. الثغرة قابلة للاستغلال ومكشوفة علناً بدون استجابة من المورد.
Immediately upgrade Acrel ECEMS to a patched version if available; implement Web Application Firewall (WAF) rules to block SQL injection patterns in the fCircuitids parameter; apply input validation and parameterized queries; restrict access to /SubstationWEBV2 endpoints to authorized networks only; monitor for exploitation attempts in access logs.
قم بالترقية الفورية لنظام Acrel ECEMS إلى إصدار معدل إن توفر؛ طبق قواعد جدار حماية تطبيقات الويب لحجب أنماط حقن SQL في معامل fCircuitids؛ طبق التحقق من صحة المدخلات والاستعلامات المعاملة؛ قيد الوصول إلى نقاط نهاية /SubstationWEBV2 للشبكات المصرح بها فقط؛ راقب محاولات الاستغلال في سجلات الوصول.