Firma Wago informuje o nowej podatności w swoich produktach

cert.pse-online.pl 1 rok temu
ProduktCompact Controller CC100 751-9301 wersja FW16 <= FW22
Compact Controller CC100 751-9301 wersja = FW23
Edge Controller 752-8303/8000-002 wersja = FW23
Edge Controller 752-8303/8000-002 wersja FW18 <= FW22
PFC100 750-81xx/xxx-xxx wersja FW16 <= FW22
PFC100 750-81xx/xxx-xxx wersja = FW23
PFC200 750-82xx/xxx-xxx wersja FW16 <= FW22
PFC200 750-82xx/xxx-xxx wersja = FW23
Touch Panel 600 Advanced Line 762-5xxx wersja FW16 <= FW22
Touch Panel 600 Advanced Line 762-5xxx wersja = FW23
Touch Panel 600 Marine Line 762-6xxx wersja FW16 <= FW22
Touch Panel 600 Marine Line 762-6xxx wersja = FW23
Touch Panel 600 Standard Line 762-4xxx wersja FW16 <= FW22
Touch Panel 600 Standard Line 762-4xxx wersja = FW23
Numer CVECVE-2022-45138
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisZaplecze konfiguracyjne zarządzania przez Internet może być używane przez nieuwierzytelnionych użytkowników, chociaż tylko uwierzytelnieni użytkownicy powinni mieć możliwość korzystania z interfejsu API. Luka w zabezpieczeniach umożliwia nieuwierzytelnionemu atakującemu odczytanie i ustawienie kilku parametrów urządzenia, co może doprowadzić do pełnego naruszenia bezpieczeństwa urządzenia.
Numer CVECVE-2022-45140
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisZaplecze konfiguracyjne umożliwia nieuwierzytelnionemu użytkownikowi zapisywanie dowolnych danych z uprawnieniami administratora w pamięci masowej, co może prowadzić do nieuwierzytelnionego zdalnego wykonania kodu i całkowitego naruszenia bezpieczeństwa systemu.
Numer CVECVE-2022-45137
Krytyczność6,1/10
CVSSAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
OpisZaplecze konfiguracyjne zarządzania przez Internet jest podatne na odbite ataki typu XSS (Cross-Site Scripting), których celem jest przeglądarka użytkownika. Prowadzi to do ograniczonego wpływu na poufność i integralność, ale bez wpływu na dostępność
Numer CVECVE-2022-45139
Krytyczność5,3/10
CVSSAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
OpisZaplecze konfiguracyjne zarządzania przez Internet jest podatne na odbite ataki typu XSS (Cross-Site Scripting), których celem jest przeglądarka użytkownika. Prowadzi to do ograniczonego wpływu na poufność i integralność, ale bez wpływu na dostępność.
AktualizacjaTAK
Linkhttps://cert.vde.com/en/advisories/VDE-2022-060/
Idź do oryginalnego materiału