ICS-CERT informuje o nowych podatnościach w produktach firmy Advantech. (P24-312)
cert.pse-online.pl 2 miesięcy temu
Produkt
Advantech ADAM 5550: wszystkie wersje
Numer CVE
CVE-2024-37187
Krytyczność
5.7/10
CVSS
AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Opis
Dane uwierzytelniające użytkownika są udostępniane przy użyciu niskiego poziomu szyfrowania, obejmującego kodowanie Base64.
Numer CVE
CVE-2024-38308
Krytyczność
8.8/10
CVSS
AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis
Aplikacja internetowa Advantech ADAM 5550 zawiera stronę „logs”, na której wyświetlane są użytkownikowi wszystkie otrzymane żądania HTTP. Urządzenie nie neutralizuje poprawnie złośliwego kodu podczas analizowania żądań HTTP w celu wygenerowania wyników strony.
Advantech ADAM-5630: wersje wcześniejsze niż v2.5.2
Numer CVE
CVE-2024-39275
Krytyczność
8.0/10
CVSS
AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis
Pliki cookie uwierzytelnionych użytkowników pozostają aktywnymi, ważnymi plikami cookie, gdy sesja jest zamykana. Sfałszowanie żądań dzięki legalnego pliku cookie, choćby jeżeli sesja została zakończona, pozwala nieautoryzowanemu atakującemu działać z takim samym poziomem uprawnień, jak legalny użytkownik.
Numer CVE
CVE-2024-28948
Krytyczność
8.0/10
CVSS
AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis
Cross-site request forgery (CSRF) to luka w zabezpieczeniach sieci, która umożliwia atakującemu nakłonienie użytkowników do wykonania działań, których nie zamierzają wykonać. Umożliwia atakującemu częściowe obejście polityki tego samego pochodzenia, która ma na celu zapobieganie wzajemnemu zakłócaniu się różnych witryn.
Numer CVE
CVE-2024-34542
Krytyczność
5.7/10
CVSS
AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Opis
Dane uwierzytelniające użytkownika są udostępniane w postaci zwykłego tekstu pomiędzy urządzeniem a urządzeniem źródłowym użytkownika podczas procesu logowania.
Numer CVE
CVE-2024-39364
Krytyczność
6.3/10
CVSS
AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
Opis
Urządzenie ma wbudowane polecenia, które można wykonać bez uwierzytelniania użytkownika. Polecenia te umożliwiają ponowne uruchomienie systemu operacyjnego, ponowne uruchomienie sprzętu i zatrzymanie wykonywania. Polecenia mogą być wysyłane na proste żądanie HTTP i są wykonywane przez urządzenie automatycznie, bez dyskryminacji pochodzenia lub poziomu uprawnień użytkownika wysyłającego polecenia.