ICS-CERT informuje o nowych podatnościach w produktach firmy Rockwell Automation. (P24-200)

cert.pse-online.pl 3 miesięcy temu

Produkt	FactoryTalk View SE: v12.0
Numer CVE	CVE-2024-37367
Krytyczność	7,4/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/D:N
Opis	W FactoryTalk View SE występuje luka w zabezpieczeniach umożliwiająca uwierzytelnianie użytkownika. Luka umożliwia użytkownikowi zdalnego systemu z FTView wysłanie pakietu na serwer klienta w celu wyświetlenia projektu HMI. Ta akcja jest dozwolona bez odpowiedniej weryfikacji uwierzytelnienia.

Numer CVE	CVE-2024-37369
Krytyczność	7,8/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	W FactoryTalk View SE występuje luka w zabezpieczeniach umożliwiająca eskalację uprawnień. Luka umożliwia użytkownikom o niskich uprawnieniach edytowanie skryptów, omijanie list kontroli dostępu i potencjalnie uzyskanie większego dostępu w systemie.

Aktualizacja	TAK
Link	https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-16 https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-17

Produkt	FactoryTalk View SE: v11.0
Numer CVE	CVE-2024-37368
Krytyczność	7.5/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Opis	W FactoryTalk View SE występuje luka w zabezpieczeniach umożliwiająca uwierzytelnianie użytkownika. Luka umożliwia użytkownikowi zdalnego systemu z FTView wysłanie pakietu na serwer klienta w celu wyświetlenia projektu HMI. Ze względu na brak prawidłowego uwierzytelnienia, czynność ta jest dozwolona bez prawidłowej weryfikacji uwierzytelnienia.

Aktualizacja	TAK
Link	https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-18