ICS-CERT informuje o nowych podatnościach w produktach firmy Emerson

cert.pse-online.pl 2 lat temu

Produkt	ControlWave: Wszystkie wersje
Numer CVE	CVE-2022-30262
Krytyczność	9.1 / 10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
Opis	Obrazy systemu układowego Emerson ControlWave nie są podpisane i polegają jedynie na niezabezpieczonych sumach kontrolnych w celu regularnego sprawdzania integralności. Może to umożliwić osobie atakującej przekazanie złośliwego systemu układowego, zdalne wykonanie kodu lub stan odmowy usługi.

Aktualizacja	NIE
Link	https://www.cisa.gov/uscert/ics/advisories/icsa-22-221-02

Produkt	OpenBSI: Wersje 5.9 SP3 i wcześniejsze
Numer CVE	CVE-2022-29959
Krytyczność	9,6 / 10
CVSS	AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Opis	Stwierdzono, iż produkt, którego dotyczy problem, przechowuje poświadczenia w niezabezpieczonym pliku lokalnym. Może to umożliwić osobie atakującej mającej dostęp lokalny do systemu złamanie tych przechowywanych poświadczeń.

Numer CVE	CVE-2022-29960
Krytyczność	8.1 / 10
CVSS	AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis	Stwierdzono, iż zaatakowany produkt ma zakodowane na stałe klucze kryptograficzne, które mogą umożliwić osobie atakującej z lokalnym dostępem do systemu plików podniesienie swoich uprawnień.

Aktualizacja	NIE
Link	https://www.cisa.gov/uscert/ics/advisories/icsa-22-221-03