Hitachi Energy aktualizuje swoje produkty. (P24-277)

cert.pse-online.pl 3 miesięcy temu
ProduktMicroSCADA X SYS600 w wersji 10.5 i wcześniejsze
Numer CVECVE-2024-4872
Krytyczność9.9/10
CVSSAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
OpisProdukt nie weryfikuje żadnych zapytań dotyczących trwałych danych, co wiąże się z ryzykiem ataków typu injection.
Numer CVECVE-2024-3980
Krytyczność9.9/10
CVSSAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
OpisProdukt pozwala użytkownikowi kontrolować lub wpływać na ścieżki lub nazwy plików używane w operacjach systemu plików, umożliwiając atakującemu dostęp do plików systemowych lub innych plików o kluczowym znaczeniu dla aplikacji oraz ich modyfikację.
Numer CVECVE-2024-3982
Krytyczność8.2/10
CVSSAV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
OpisAtakujący z lokalnym dostępem do maszyny, na której zainstalowany jest MicroSCADA X SYS600, może włączyć rejestrowanie sesji obsługujące produkt i spróbować wykorzystać przejęcie sesji już ustanowionej sesji. Domyślnie poziom rejestrowania sesji nie jest włączony i tylko użytkownicy z uprawnieniami administratora mogą go włączyć.
Numer CVECVE-2024-7940
Krytyczność8.3/10
CVSSAV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
OpisProdukt udostępnia usługę przeznaczoną wyłącznie lokalnie dla wszystkich interfejsów sieciowych, bez żadnego uwierzytelniania.
Numer CVECVE-2024-7941
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
OpisParametr HTTP może zawierać wartość adresu URL i może spowodować, iż aplikacja internetowa przekieruje żądanie do określonego adresu URL. Modyfikując wartość adresu URL do złośliwej witryny, atakujący może pomyślnie uruchomić oszustwo phishingowe i ukraść dane uwierzytelniające użytkownika.
AktualizacjaTAK
Linkhttps://publisher.hitachienergy.com/preview?DocumentId=8DBD000160&languageCode=en&Preview=true
Idź do oryginalnego materiału