Rockwell Automation informuje o lukach w ThinManager i ThinServer. (P23-213)
cert.pse-online.pl 1 rok temu
Produkt
ThinManager ,ThinServer
CVE
CVE-2023-2914
Krytyczność
7.5/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis
Z powodu nieprawidłowej weryfikacji danych wejściowych w produktach, których dotyczy problem, występuje przepełnienie liczb całkowitych. Gdy ThinManager przetwarza wiadomości przychodzące, następuje naruszenie zasad dostępu do odczytu i proces zostaje zakończony. Złośliwy użytkownik może wykorzystać tę lukę, wysyłając spreparowany komunikat protokołu synchronizacji.
Uaktualnienie
Tak
CVE
CVE-2023-2915
Krytyczność
7.5/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis
Z powodu nieprawidłowej weryfikacji danych wejściowych, gdy ThinManager przetwarza określoną funkcję, występuje luka w zabezpieczeniach umożliwiająca przekroczenie ścieżki. W przypadku wykorzystania nieuwierzytelniony zdalny użytkownik może usunąć dowolne pliki z uprawnieniami systemowymi. Złośliwy użytkownik może wykorzystać tę lukę, wysyłając specjalnie spreparowany komunikat protokołu synchronizacji.
Uaktualnienie
Tak
CVE
CVE-2023-2917
Krytyczność
9.8/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis
Z powodu nieprawidłowej weryfikacji danych wejściowych istnieje luka w zabezpieczeniach umożliwiająca przekroczenie ścieżki za pośrednictwem pola nazwy pliku, gdy ThinManager przetwarza określoną funkcję. W przypadku wykorzystania nieuwierzytelniony zdalny atakujący może przesłać dowolne pliki do dowolnego katalogu na dysku, na którym jest zainstalowany ThinServer. Atakujący może wykorzystać tę lukę, wysyłając spreparowany komunikat protokołu synchronizacji.