ICS-CERT informuje o podatnościach w produktach firmy Delta Electronics. (P24-091)

cert.pse-online.pl 9 miesięcy temu
ProduktDIAEnergie: Wersje wcześniejsze niż v1.10.00.005
Numer CVECVE-2024-28029
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisUprawnienia nie są w pełni weryfikowane po stronie serwera, co może zostać nadużyte przez użytkownika z ograniczonymi uprawnieniami w celu ominięcia autoryzacji i uzyskania dostępu do uprzywilejowanych funkcjonalności.
Numer CVECVE-2024-28891
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisW skrypcie Handler_CFG.ashx występuje luka w zabezpieczeniach umożliwiająca wstrzykiwanie SQL.
Numer CVECVE-2024-25937
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisW skrypcie DIAE_tagHandler.ashx występuje luka w zabezpieczeniach umożliwiająca wstrzykiwanie SQL.
Numer CVECVE-2024-28040
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisW GetDIAE_astListParameters istnieje luka w zabezpieczeniach związana z iniekcją SQL.
Numer CVECVE-2024-23975
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisW GetDIAE_slogListParameters istnieje luka w zabezpieczeniach umożliwiająca iniekcję SQL.
Numer CVECVE-2024-23494
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisW GetDIAE_unListParameters istnieje luka w zabezpieczeniach umożliwiająca iniekcję SQL.
Numer CVECVE-2024-25574
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisW GetDIAE_usListParameters istnieje luka w zabezpieczeniach umożliwiająca iniekcję SQL.
Numer CVECVE-2024-28171
Krytyczność8,1/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
OpisMożliwe jest wykonanie ataku polegającego na przekroczeniu ścieżki i zapis poza zamierzonym katalogiem. jeżeli zostanie określona nazwa pliku, która już istnieje w systemie plików, oryginalny plik zostanie nadpisany.
Numer CVECVE-2024-25567
Krytyczność8,1/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
OpisMożliwy jest atak polegający na przekroczeniu ścieżki, zapis poza zamierzonym katalogiem i może uzyskać dostęp do poufnych informacji. jeżeli zostanie określona nazwa pliku, która już istnieje w systemie plików, oryginalny plik zostanie nadpisany.
Numer CVECVE-2024-28045
Krytyczność8,1/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
OpisNiewłaściwa neutralizacja danych wejściowych w produkcie, którego dotyczy problem, może prowadzić do tworzenia skryptów między witrynami.
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-24-074-12
Idź do oryginalnego materiału