Produkt | DIAEnergie: Wersje wcześniejsze niż v1.10.00.005 |
Numer CVE | CVE-2024-28029 |
Krytyczność | 8,8/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | Uprawnienia nie są w pełni weryfikowane po stronie serwera, co może zostać nadużyte przez użytkownika z ograniczonymi uprawnieniami w celu ominięcia autoryzacji i uzyskania dostępu do uprzywilejowanych funkcjonalności. |
|
|
Numer CVE | CVE-2024-28891 |
Krytyczność | 8,8/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | W skrypcie Handler_CFG.ashx występuje luka w zabezpieczeniach umożliwiająca wstrzykiwanie SQL. |
|
|
Numer CVE | CVE-2024-25937 |
Krytyczność | 8,8/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | W skrypcie DIAE_tagHandler.ashx występuje luka w zabezpieczeniach umożliwiająca wstrzykiwanie SQL. |
|
|
Numer CVE | CVE-2024-28040 |
Krytyczność | 8,8/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | W GetDIAE_astListParameters istnieje luka w zabezpieczeniach związana z iniekcją SQL. |
|
|
Numer CVE | CVE-2024-23975 |
Krytyczność | 8,8/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | W GetDIAE_slogListParameters istnieje luka w zabezpieczeniach umożliwiająca iniekcję SQL. |
|
|
Numer CVE | CVE-2024-23494 |
Krytyczność | 8,8/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | W GetDIAE_unListParameters istnieje luka w zabezpieczeniach umożliwiająca iniekcję SQL. |
|
|
Numer CVE | CVE-2024-25574 |
Krytyczność | 8,8/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | W GetDIAE_usListParameters istnieje luka w zabezpieczeniach umożliwiająca iniekcję SQL. |
|
|
Numer CVE | CVE-2024-28171 |
Krytyczność | 8,1/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
Opis | Możliwe jest wykonanie ataku polegającego na przekroczeniu ścieżki i zapis poza zamierzonym katalogiem. jeżeli zostanie określona nazwa pliku, która już istnieje w systemie plików, oryginalny plik zostanie nadpisany. |
|
|
Numer CVE | CVE-2024-25567 |
Krytyczność | 8,1/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
Opis | Możliwy jest atak polegający na przekroczeniu ścieżki, zapis poza zamierzonym katalogiem i może uzyskać dostęp do poufnych informacji. jeżeli zostanie określona nazwa pliku, która już istnieje w systemie plików, oryginalny plik zostanie nadpisany. |
|
|
Numer CVE | CVE-2024-28045 |
Krytyczność | 8,1/10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
Opis | Niewłaściwa neutralizacja danych wejściowych w produkcie, którego dotyczy problem, może prowadzić do tworzenia skryptów między witrynami. |
|
|
Aktualizacja | TAK |
Link | https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-12 |