Hitachi Energy aktualizuje swoje produkty. (P24-277)
cert.pse-online.pl 3 miesięcy temu
Produkt
MicroSCADA X SYS600 w wersji 10.5 i wcześniejsze
Numer CVE
CVE-2024-4872
Krytyczność
9.9/10
CVSS
AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis
Produkt nie weryfikuje żadnych zapytań dotyczących trwałych danych, co wiąże się z ryzykiem ataków typu injection.
Numer CVE
CVE-2024-3980
Krytyczność
9.9/10
CVSS
AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis
Produkt pozwala użytkownikowi kontrolować lub wpływać na ścieżki lub nazwy plików używane w operacjach systemu plików, umożliwiając atakującemu dostęp do plików systemowych lub innych plików o kluczowym znaczeniu dla aplikacji oraz ich modyfikację.
Numer CVE
CVE-2024-3982
Krytyczność
8.2/10
CVSS
AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Opis
Atakujący z lokalnym dostępem do maszyny, na której zainstalowany jest MicroSCADA X SYS600, może włączyć rejestrowanie sesji obsługujące produkt i spróbować wykorzystać przejęcie sesji już ustanowionej sesji. Domyślnie poziom rejestrowania sesji nie jest włączony i tylko użytkownicy z uprawnieniami administratora mogą go włączyć.
Numer CVE
CVE-2024-7940
Krytyczność
8.3/10
CVSS
AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
Opis
Produkt udostępnia usługę przeznaczoną wyłącznie lokalnie dla wszystkich interfejsów sieciowych, bez żadnego uwierzytelniania.
Numer CVE
CVE-2024-7941
Krytyczność
4.3/10
CVSS
AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Opis
Parametr HTTP może zawierać wartość adresu URL i może spowodować, iż aplikacja internetowa przekieruje żądanie do określonego adresu URL. Modyfikując wartość adresu URL do złośliwej witryny, atakujący może pomyślnie uruchomić oszustwo phishingowe i ukraść dane uwierzytelniające użytkownika.