Schneider Electric EcoStruxure Operator Terminal Expert többszörös sérülékenység

Schneider Electric EcoStruxure™ Operator Terminal Expert többszörös sérülékenység
Angol cím: Multiple vulnerabilities in Schneider Electric EcoStruxure Operator Terminal Expert

CH azonosító: CH-14889
Publikálás dátuma: 2020.05.19.
Utolsó módosítás dátuma: 2020.05.19.

Leírás

A CVE-2020-7493 – CVE-2020-7496 számokon a Schneider Electric EcoStruxure™ Operator Terminal Expert fejlesztőkörnyezetet érintő sérülékenységek váltak ismertté, amelyeken keresztül a támadó érzékeny adatokhoz férhet hozzá, illetve tetszőleges kódfuttatási jogosultságot szerezhet az érintett rendszeren. A most ismertetett sérülékenységek közül  2 magas,  2 pedig alacsony kockázati besorolású.

Leírás forrása: Egyéb referencia: www.cybersecurity-help.cz Leírás utolsó módosítása: 2020.05.19.

Elemzés leírás

Az EcoStruxure Operator Terminal Expert (korábban Vijeo XD) fejlesztőkörnyezettel a legújabb Magelis HMI és ipari PC panelekre készíthetőek alkalmazások (érintőkijelző alkalmazásfejlesztő-környezet). A most ismertetett sérülékenységek kihasználása lehetővé teszi a távoli támadó számára, hogy tetszőleges SQL lekérdezéseket hajtson végre az adatbázisban. A sérülékenység kihasználásához a felhasználónak meg kell nyitnia egy a támadó által speciálisan kialakított fájlt (.dll, Zip, vagy Project file), melynek következtében a távoli támadó érzékeny adatokhoz férhet hozzá, illetve tetszőleges kódfuttatási jogosultságot és teljes ellenőrzést szerezhet az érintett alkalmazás felett.

Érintett termékek:

EcoStruxure Operator Terminal Expert: -, 3.1 SP1

A gyártó honlapján közzétette a hibák javításait tartalmazó frissítéseket.

Elemzés leírás forrása: Gyártói referencia: www.se.com Elemzés leírás utolsó módosítása: 2020.05.19.

Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 7.7 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Hatás pontszáma:
Kihasználhatóság pontszáma:

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Nem változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):

Hivatkozások

Gyártói referencia: www.se.com
Egyéb referencia: www.cybersecurity-help.cz

CVE-2020-7493 - NVD CVE-2020-7493
CVE-2020-7494 - NVD CVE-2020-7494
CVE-2020-7495 - NVD CVE-2020-7495
CVE-2020-7496 - NVD CVE-2020-7496

Legfrissebb sérülékenységek
CVE-2023-28712 – Osprey Pump Controller sérülékenysége
CVE-2023-28718 – Osprey Pump Controller sérülékenysége
CVE-2023-28648 – Osprey Pump Controller sérülékenysége
CVE-2023-28375 – Osprey Pump Controller sérülékenysége
CVE-2023-28395 – Osprey Pump Controller sérülékenysége
CVE-2023-28398 – Osprey Pump Controller sérülékenysége
CVE-2023-28654 – Osprey Pump Controller sérülékenysége
CVE-2023-27394 – Osprey Pump Controller sérülékenysége
CVE-2023-27886 – Osprey Pump Controller sérülékenysége
CVE-2023-1516 – RoboDK sérülékenysége
Tovább a sérülékenységekhez »