Schneider Electric EcoStruxure Operator Terminal Expert többszörös sérülékenység

CH azonosító: CH-14889
Cím: Schneider Electric EcoStruxure™ Operator Terminal Expert többszörös sérülékenység
Angol cím: Multiple vulnerabilities in Schneider Electric EcoStruxure Operator Terminal Expert

Publikálás dátuma: 2020.05.19.
Utolsó módosítás dátuma: 2020.05.19.


Leírás

A CVE-2020-7493 – CVE-2020-7496 számokon a Schneider Electric EcoStruxure™ Operator Terminal Expert fejlesztőkörnyezetet érintő sérülékenységek váltak ismertté, amelyeken keresztül a támadó érzékeny adatokhoz férhet hozzá, illetve tetszőleges kódfuttatási jogosultságot szerezhet az érintett rendszeren. A most ismertetett sérülékenységek közül  2 magas,  2 pedig alacsony kockázati besorolású.


Leírás forrása: Egyéb referencia: www.cybersecurity-help.cz
Leírás utolsó módosítása: 2020.05.19.


Elemzés leírás

Az EcoStruxure Operator Terminal Expert (korábban Vijeo XD) fejlesztőkörnyezettel a legújabb Magelis HMI és ipari PC panelekre készíthetőek alkalmazások (érintőkijelző alkalmazásfejlesztő-környezet). A most ismertetett sérülékenységek kihasználása lehetővé teszi a távoli támadó számára, hogy tetszőleges SQL lekérdezéseket hajtson végre az adatbázisban. A sérülékenység kihasználásához a felhasználónak meg kell nyitnia egy a támadó által speciálisan kialakított fájlt (.dll, Zip, vagy Project file), melynek következtében a távoli támadó érzékeny adatokhoz férhet hozzá, illetve tetszőleges kódfuttatási jogosultságot és teljes ellenőrzést szerezhet az érintett alkalmazás felett.

Érintett termékek:

EcoStruxure Operator Terminal Expert: -, 3.1 SP1

A gyártó honlapján közzétette a hibák javításait tartalmazó frissítéseket.


Elemzés leírás forrása: Gyártói referencia: www.se.com
Elemzés leírás utolsó módosítása: 2020.05.19.


Hatás

CVSS3 Severity and Metrics

Base score: 7.7 (Magas)
Vector: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Impact Score:
Exploitability Score:


Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

CVSS2 Severity and Metrics

Base score: (Nincs)
Vector:
Impact Subscore:
Exploitability Subscore: