Produkt | Smart Security Manager: Wersje 1.4 i starsze niż 1.31 Smart Security Manager: Wersja 1.5 i wcześniejsze CJ2H-CPU** (-EIP): wersja 1.4 i wcześniejsze CJ2M-CPU**: wersja 2.0 i wcześniejsze CS1H/G-CPU ** H, CJ1G-CPU ** P: wersja 4.0 i wcześniejsze CS1D-CPU** H / -CPU**P: wersja 1.3 i wcześniejsze CS1D-CPU ** S: wersja 2.0 i wcześniejsze CP1E-E / -N: wersja 1.2 i wcześniejsze |
Numer CVE | CVE-2022-45790 |
Krytyczność | 7.5/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Opis | Programowalne sterowniki logiczne serii CJ/CS/CP firmy Omron korzystają z protokołu FINS, który jest podatny na ataki typu brute-force. Kontrolery nie wymuszają żadnego limitu szybkości odgadywania haseł do obszarów pamięci chronionych hasłem. |
Aktualizacja | TAK |
Link | https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-05 |
Produkt | Sysmac Studio: wersja 1.54 i wcześniejsze |
Numer CVE | CVE-2022-45793 |
Krytyczność | 5,5/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/D:N |
Opis | Aplikacje inżynieryjne firmy Omron instalują pliki wykonywalne z uprawnieniami „zapisu” użytkownika o niskich uprawnieniach. Może to pozwolić osobie atakującej na zmianę plików w celu wykonania dowolnego kodu. |
Aktualizacja | TAK |
Link | https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-04 |
Produkt | Sysmac Studio: wersja 1.54 i wcześniejsze Konfigurator NX-IO: wersja 1.22 i wcześniejsze |
Numer CVE | CVE-2022-45793 |
Krytyczność | 5.5/10 |
CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Opis | DotNetZip.Semvered w wersji wcześniejszej niż 1.11.0 jest podatny na przechodzenie przez katalogi, co może pozwolić atakującym na zapis do dowolnych plików dzięki znaku ../ (ukośnik z kropką) we wpisie archiwum Zip, który został niewłaściwie obsłużony podczas rozpakowywania. Luka ta jest również nazywana „Zip-Slip”. |
Aktualizacja | TAK |
Link | https://www.cisa.gov/news-events/ics-advisories/icsa-23-262-03 |