Firma ABB informuje o nowych podatnościach w swoich produktach. (P23-188)
cert.pse-online.pl 1 rok temu
Produkt
AO-OPC – wersja 3.2.1.0 i wcześniejsze
Numer CVE
CVE-2023-2685
Krytyczność
7.2/10
CVSS
AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
Opis
We wspomnianych wyżej wersjach serwera AO-OPC została odkryta luka. Ponieważ informacje katalogowe wpisu usługi nie są ujęte w cudzysłowy, potencjalni atakujący mogą wywołać inną aplikację niż serwer AO-OPC, uruchamiając usługę. Usługa może zostać uruchomiona z uprawnieniami użytkownika systemu, co może spowodować zmianę uprawnień dostępu użytkownika. Wykorzystanie luki w dobrze utrzymanych instalacjach systemu Windows jest mało prawdopodobne, ponieważ osoba atakująca musiałaby mieć uprawnienia do zapisu w folderach systemowych.