ICS-CERT informuje o nowych podatnościach w produktach firmy Automated Logic. (P25-420)

cert.pse-online.pl 1 dzień temu

Produkt	Automatyczny serwer WebCTRL Logic: Wersja 6.1 Automatyczny serwer WebCTRL Logic: Wersja 7.0 Automatyczny serwer WebCTRL Logic: Wersja 8.0 Automatyczny serwer WebCTRL Logic: Wersja 8.5 Carrier i-Vu: Wersja 6.1 Carrier i-Vu: Wersja 7.0 Carrier i-Vu: Wersja 8.0 Carrier i-Vu: Wersja 8.5 Automatyczny serwer Web SiteScan Logic: Wersja 6.1 Automatyczny serwer Web SiteScan Logic: Wersja 7.0 Automatyczny serwer Web SiteScan Logic: Wersja 8.0 Automatyczny serwer Web SiteScan Logic: Wersja 8.5 Automatyczny serwer WebCTRL dla producentów OEM: Wersja 6.1 Automatyczny serwer WebCTRL dla producentów OEM: Wersja 7.0 Automatyczny serwer WebCTRL dla producentów OEM: Wersja 8.0 Automatyczny serwer WebCTRL dla Producenci OEM: Wersja 8.5
Numer CVE	CVE-2024-8527
Krytyczność	9.3/10
CVSS	AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Opis	Ta słabość występuje, gdy aplikacja akceptuje adres URL podany przez użytkownika i przekierowuje go do niego bez odpowiedniej weryfikacji. Atakujący mogą to wykorzystać, aby przekierować ofiary na złośliwe strony, często wykorzystywane w phishingu lub do obejścia zabezpieczeń.

Numer CVE	CVE-2024-8528
Krytyczność	7.5/10
CVSS	AV:L/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H
Opis	Automated Logic WebCTRL może umożliwić atakującemu wysłanie złośliwego skryptu do niczego niepodejrzewającego użytkownika z powodu braku czyszczenia parametru GET „wbs”. Aplikacja umieszcza na stronie internetowej niezaufane dane bez odpowiedniej walidacji lub ucieczki, co umożliwia atakującym wykonywanie złośliwych skryptów w przeglądarce użytkownika.

Aktualizacja	TAK
Link	https://www.cisa.gov/news-events/ics-advisories/icsa-25-324-01