ICS-CERT informuje o nowej podatności w produktach firmy Rockwell Automation. (P23-304)

cert.pse-online.pl 1 rok temu
ProduktArena: wersja 16.20.00001
Numer CVECVE-2023-27854
Krytyczność7.8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisWersja 16.20 systemu Arena firmy Rockwell Automation zawiera lukę w zabezpieczeniach umożliwiającą odczyt poza granicami podczas przetwarzania niektórych zniekształconych plików. Osoba atakująca mająca dostęp lokalny może to wykorzystać do potencjalnego wycieku pamięci lub wykonania dowolnego kodu.
Numer CVECVE-2023-27858
Krytyczność7,8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisWersja 16.20 systemu Arena firmy Rockwell Automation zawiera niezainicjowany wskaźnik podczas przetwarzania niektórych zniekształconych plików. Lokalny atakujący, który odpowiednio przygotował zniekształcony plik, może wskazać z góry określoną lokalizację w pamięci i wykonać dowolny kod.
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-23-299-04
ProduktFactoryTalk Services Platform: v2.74
Numer CVECVE-2023-46290
Krytyczność8.1/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisZe względu na nieodpowiednią logikę kodu wcześniej nieuwierzytelniony aktor zagrażający może potencjalnie uzyskać token użytkownika lokalnego systemu operacyjnego Windows za pośrednictwem usługi internetowej platformy usług FactoryTalk, a następnie użyć tego tokena do zalogowania się na platformę usług FactoryTalk. Lukę tę można wykorzystać tylko wtedy, gdy autoryzowany użytkownik nie zalogował się wcześniej do usługi internetowej platformy usług FactoryTalk.
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-23-299-06
ProduktFactoryTalk View Site Edition: V11.0
Numer CVECVE-2023-46289
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisFactoryTalk View Site Edition 11.0 w niewystarczającym stopniu weryfikuje dane wprowadzane przez użytkownika, co może potencjalnie umożliwić cyberprzestępcom wysyłanie złośliwych danych, przełączając produkt w tryb offline. W przypadku wykorzystania produkt stanie się niedostępny i będzie wymagał ponownego uruchomienia w celu odzyskania, co spowoduje stan odmowy usługi.
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-23-299-05
Idź do oryginalnego materiału