Invensys Wonderware termékek sérülékenységei

CH azonosító

CH-6649

Angol cím

Invensys Wonderware Products Multiple Vulnerabilities

Felfedezés dátuma

2012.04.02.

Súlyosság

Kritikus

Érintett rendszerek

Invensys
Wonderware Historian Client
Wonderware Information Server

Érintett verziók

Invensys Wonderware Historian Client 10.x
Wonderware Information Server 4.x

Összefoglaló

A Wonderware Information Server és az Invensys Wonderware Historian Client több sérülékenységét jelentették, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) és SQL befecskendezéses (SQL injection) támadásokat indíthatnak, megkerülhetnek bizonyos biztonsági szabályokat, valamint feltörhetik a sérülékeny rendszert.

Leírás

  1. Egyes nem részletezett bemeneti adatok nem megfelelően vannak megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  2. Egyes nem részletezett bemeneti adat nem megfelelően vannak megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülnek. Ezt kihasználva, tetszőleges SQL parancsot lehet lefuttatni.
  3. A kliens vezérlőben lévő nem részletezett hibát kihasználva, meg lehet kerülni bizonyos biztonsági szabályokat.
    A sérülékenység sikeres kihasználásával tetszőleges kódot lehet végrehajtani.

A sérülékenységeket a Wonderware Information Server 4.0 SP1 és 4.5, illetve az Invensys Wonderware Historian Client 10 SP3 előtti verzióiban jelentették.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »