Hitachi Energy aktualizuje swoje produkty. (P24-277)

cert.pse-online.pl 3 tygodni temu

Produkt	MicroSCADA X SYS600 w wersji 10.5 i wcześniejsze
Numer CVE	CVE-2024-4872
Krytyczność	9.9/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis	Produkt nie weryfikuje żadnych zapytań dotyczących trwałych danych, co wiąże się z ryzykiem ataków typu injection.

Numer CVE	CVE-2024-3980
Krytyczność	9.9/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis	Produkt pozwala użytkownikowi kontrolować lub wpływać na ścieżki lub nazwy plików używane w operacjach systemu plików, umożliwiając atakującemu dostęp do plików systemowych lub innych plików o kluczowym znaczeniu dla aplikacji oraz ich modyfikację.

Numer CVE	CVE-2024-3982
Krytyczność	8.2/10
CVSS	AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Opis	Atakujący z lokalnym dostępem do maszyny, na której zainstalowany jest MicroSCADA X SYS600, może włączyć rejestrowanie sesji obsługujące produkt i spróbować wykorzystać przejęcie sesji już ustanowionej sesji. Domyślnie poziom rejestrowania sesji nie jest włączony i tylko użytkownicy z uprawnieniami administratora mogą go włączyć.

Numer CVE	CVE-2024-7940
Krytyczność	8.3/10
CVSS	AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
Opis	Produkt udostępnia usługę przeznaczoną wyłącznie lokalnie dla wszystkich interfejsów sieciowych, bez żadnego uwierzytelniania.

Numer CVE	CVE-2024-7941
Krytyczność	4.3/10
CVSS	AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Opis	Parametr HTTP może zawierać wartość adresu URL i może spowodować, iż aplikacja internetowa przekieruje żądanie do określonego adresu URL. Modyfikując wartość adresu URL do złośliwej witryny, atakujący może pomyślnie uruchomić oszustwo phishingowe i ukraść dane uwierzytelniające użytkownika.

Aktualizacja	TAK
Link	https://publisher.hitachienergy.com/preview?DocumentId=8DBD000160&languageCode=en&Preview=true