ICS-CERT informuje o nowych podatnościach w produktach firmy Rockwell Automation. (P24-101)

cert.pse-online.pl 8 miesięcy temu
ProduktFactoryTalk View ME: przed wersją 14
Numer CVECVE-2024-21914
Krytyczność5,3/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
OpisW produkcie, którego dotyczy luka, umożliwia złośliwemu użytkownikowi zdalne ponowne uruchomienie terminala PanelView Plus 7 bez zabezpieczeń. Wykorzystanie luki może spowodować utratę widoku lub kontroli nad produktem PanelView.
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-24-086-04
ProduktPowerFlex 527: Wersje v2.001.x i nowsze
Numer CVECVE-2024-2425
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/D:H
OpisW PowerFlex 527 występuje luka w zabezpieczeniach umożliwiająca odmowę usługi wynikającą z nieprawidłowej weryfikacji danych wejściowych w urządzeniu. W przypadku wykorzystania serwer WWW ulegnie awarii i konieczne będzie manualne ponowne uruchomienie, aby go odzyskać.
Numer CVECVE-2024-2426
Krytyczność7,7/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/D:H
OpisW PowerFlex 527 występuje luka w zabezpieczeniach umożliwiająca odmowę usługi wynikającą z nieprawidłowej weryfikacji danych wejściowych w urządzeniu. W przypadku wykorzystania nastąpi przerwa w komunikacji CIP i użytkownik będzie musiał manualnie uruchomić ponownie, aby ją odzyskać
Numer CVECVE-2024-2427
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/D:H
OpisW urządzeniu PowerFlex 527 występuje luka w zabezpieczeniach umożliwiająca odmowę usługi wynikającą z nieprawidłowego ograniczania ruchu w urządzeniu. jeżeli do urządzenia wielokrotnie wysyłanych jest wiele pakietów danych, nastąpi awaria urządzenia i konieczne będzie manualne ponowne uruchomienie w celu odzyskania danych
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-24-086-02
ProduktArena Simulation Software: wersja 16.00
Numer CVECVE-2024-21912
Krytyczność7,8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisLuka w zabezpieczeniach umożliwiająca wykonanie dowolnego kodu może pozwolić złośliwemu użytkownikowi na wprowadzenie nieautoryzowanego kodu do oprogramowania. Odbywa się to poprzez zapis poza wyznaczony obszar pamięci, co powoduje naruszenie zasad dostępu. Po wejściu do środka atakujący może uruchomić w systemie szkodliwy kod. Ma to wpływ na poufność, integralność i dostępność produktu. Aby to wywołać, użytkownik musiałby nieświadomie otworzyć złośliwy plik udostępniony przez ugrupowanie zagrażające.
Numer CVECVE-2024-21913
Krytyczność7,8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisLuka w zabezpieczeniach związana z przepełnieniem bufora pamięci oparta na stercie może potencjalnie pozwolić złośliwemu użytkownikowi na wstawienie nieautoryzowanego kodu do systemu poprzez przekroczenie granic pamięci, co powoduje naruszenie zasad dostępu. Po wejściu do środka atakujący może uruchomić w systemie szkodliwy kod. Ma to wpływ na poufność, integralność i dostępność produktu. Aby to wywołać, użytkownik musiałby nieświadomie otworzyć złośliwy plik udostępniony przez ugrupowanie zagrażające.
Numer CVECVE-2024-2929
Krytyczność7,8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisLuka w zabezpieczeniach umożliwiająca uszkodzenie pamięci może potencjalnie pozwolić złośliwemu użytkownikowi na wstawienie nieautoryzowanego kodu do systemu poprzez uszkodzenie pamięci, powodując naruszenie zasad dostępu. Po wejściu do środka atakujący może uruchomić w systemie szkodliwy kod. Ma to wpływ na poufność, integralność i dostępność produktu. Aby to wywołać, użytkownik musiałby nieświadomie otworzyć złośliwy plik udostępniony przez ugrupowanie zagrażające.
Numer CVECVE-2024-2918
Krytyczność7,8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisLuka w buforze pamięci może potencjalnie pozwolić złośliwemu użytkownikowi na wstawienie nieautoryzowanego kodu do systemu poprzez uszkodzenie pamięci i wywołanie naruszenia zasad dostępu. Po wejściu do środka atakujący może uruchomić w systemie szkodliwy kod. Ma to wpływ na poufność, integralność i dostępność produktu. Aby to wywołać, użytkownik musiałby nieświadomie otworzyć złośliwy plik udostępniony przez ugrupowanie zagrażające.
Numer CVECVE-2024-2919
Krytyczność7,8/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisNiezainicjowany wskaźnik może potencjalnie umożliwić złośliwemu użytkownikowi wstawienie nieautoryzowanego kodu do systemu poprzez wykorzystanie wskaźnika po jego prawidłowym wykonaniu. Po wejściu do środka atakujący może uruchomić w systemie szkodliwy kod. Ma to wpływ na poufność, integralność i dostępność produktu. Aby to wywołać, użytkownik musiałby nieświadomie otworzyć złośliwy plik udostępniony przez ugrupowanie zagrażające.
Numer CVECVE-2024-2920
Krytyczność4,4/10
CVSSAV:L/AC:L/PR:N/UI:R/S:U/C:L/I:nie dotyczy:L
OpisNiezainicjowany wskaźnik może potencjalnie umożliwić złośliwemu użytkownikowi wstawienie nieautoryzowanego kodu do systemu poprzez wykorzystanie wskaźnika po jego prawidłowym wykonaniu. Po wejściu do środka atakujący może uruchomić w systemie szkodliwy kod. Ma to wpływ na poufność, integralność i dostępność produktu. Aby to wywołać, użytkownik musiałby nieświadomie otworzyć złośliwy plik udostępniony przez ugrupowanie zagrażające.
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-24-086-03
Idź do oryginalnego materiału