CONTEC informuje o nowych podatnościach w swoich produktach (P23-098)

cert.pse-online.pl 1 rok temu
ProduktCONPROSYS HMI System: 3.5.0 – 3.5.2
Numer CVECVE-2023-28713
Krytyczność5,5/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
OpisLuka wynika z poświadczeń przechowywanych przez aplikację w postaci zwykłego tekstu w pliku konfiguracyjnym w systemie. Użytkownik lokalny może przeglądać zawartość pliku konfiguracyjnego i uzyskiwać dostęp do haseł do integracji innych firm.
Numer CVECVE-2023-28399
Krytyczność7,8/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisLuka wynika z nieprawidłowego przypisania uprawnień do krytycznego zasobu na liście ACL (Access Control List). Użytkownik lokalny może uzyskać podwyższone uprawnienia w systemie.
Numer CVECVE-2023-28657
Krytyczność8,8/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisLuka w zabezpieczeniach występuje z powodu niewłaściwych ograniczeń dostępu. Zdalny użytkownik może ominąć wprowadzone ograniczenia bezpieczeństwa i uzyskać nieautoryzowany dostęp do aplikacji.
Numer CVECVE-2023-28651
Krytyczność4,8/10
CVSSAV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
OpisLuka w zabezpieczeniach istnieje z powodu niewystarczającego oczyszczenia danych dostarczonych przez użytkownika. Zdalny użytkownik może oszukać ofiarę, aby podążyła za specjalnie spreparowanym linkiem i wykonała dowolny kod HTML i skrypt w przeglądarce użytkownika w kontekście podatnej na ataki strony internetowej. Pomyślne wykorzystanie tej luki może umożliwić zdalnemu atakującemu kradzież potencjalnie poufnych informacji, zmianę wyglądu strony internetowej, przeprowadzanie ataków typu phishing i drive-by-download.
Numer CVECVE-2023-28824
Krytyczność4,3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OpisLuka w zabezpieczeniach występuje z powodu niewystarczającej weryfikacji danych wprowadzonych przez użytkownika. Zdalny użytkownik może wysłać specjalnie spreparowane żądanie HTTP i oszukać aplikację, aby zainicjowała żądania do dowolnych systemów. Pomyślne wykorzystanie tej luki może umożliwić zdalnemu atakującemu uzyskanie dostępu do poufnych danych znajdujących się w sieci lokalnej lub wysłanie złośliwych żądań do innych serwerów z podatnego systemu.
Numer CVECVE-2023-29154
Krytyczność6,7/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L
OpisLuka w zabezpieczeniach istnieje z powodu niewystarczającego oczyszczenia danych dostarczonych przez użytkownika. Zdalny administrator może wysłać specjalnie spreparowane żądanie do aplikacji, której dotyczy problem, i wykonać dowolne polecenia SQL w bazie danych aplikacji. Pomyślne wykorzystanie tej luki może pozwolić osobie atakującej zdalnie odczytać, usunąć, zmodyfikować dane w bazie danych i uzyskać pełną kontrolę nad aplikacją, której dotyczy luka.
Numer CVECVE-2023-2758
Krytyczność3,7/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
OpisLuka wynika z niewłaściwej kontroli częstotliwości interakcji. Osoba atakująca zdalnie może spowodować, iż użytkownik produktu nie będzie mógł się zalogować.
AktualizacjaTAK
Linkhttps://jvn-jp.translate.goog/index.html?_x_tr_sl=ja&_x_tr_tl=en&_x_tr_hl=en
Idź do oryginalnego materiału