| Produkt | ISaGRAF Workbench w wersji 6.0 do 6.6.9 |
| Numer CVE | CVE-2022-2463 |
| Krytyczność | 6.1/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L |
| Opis | Stworzony złośliwy plik wymiany .7z może po otwarciu umożliwić osobie atakującej uzyskanie uprawnień systemu ISaGRAF Workbench. jeżeli oprogramowanie działa na poziomie SYSTEM, atakujący uzyska uprawnienia na poziomie administratora. Interakcja użytkownika jest wymagana, aby ten exploit się powiódł. |
| Numer CVE | CVE-2022-2464 |
| Krytyczność | 7.7/10 |
| CVSS | AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H |
| Opis | Stworzone złośliwe pliki mogą umożliwić atakującemu przechodzenie przez system plików po otwarciu przez ISaGRAF Workbench. W przypadku pomyślnego wykorzystania, atakujący może nadpisać istniejące pliki i utworzyć dodatkowe pliki z tymi samymi uprawnieniami, co oprogramowanie ISaGRAF Workbench. Interakcja użytkownika jest wymagana, aby ten exploit się powiódł. |
| Numer CVE | CVE-2022-2465 |
| Krytyczność | 8.6/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
| Opis | ISaGRAF Workbench nie ogranicza obiektów, które mogą być deserializowane. Ta luka umożliwia atakującym stworzenie złośliwego obiektu serializowanego, który, jeżeli zostanie otwarty przez użytkownika lokalnego w programie ISaGRAF Workbench, może spowodować zdalne wykonanie kodu. Ta luka w zabezpieczeniach wymaga pomyślnego wykorzystania interakcji użytkownika. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/uscert/ics/advisories/icsa-22-202-03 |
Aktualizacja:
