Rockwell Automation informuje o lukach w ThinManager i ThinServer. (P23-213)

cert.pse-online.pl 1 rok temu
ProduktThinManager ,ThinServer
CVECVE-2023-2914
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisZ powodu nieprawidłowej weryfikacji danych wejściowych w produktach, których dotyczy problem, występuje przepełnienie liczb całkowitych. Gdy ThinManager przetwarza wiadomości przychodzące, następuje naruszenie zasad dostępu do odczytu i proces zostaje zakończony. Złośliwy użytkownik może wykorzystać tę lukę, wysyłając spreparowany komunikat protokołu synchronizacji.
UaktualnienieTak
CVECVE-2023-2915
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisZ powodu nieprawidłowej weryfikacji danych wejściowych, gdy ThinManager przetwarza określoną funkcję, występuje luka w zabezpieczeniach umożliwiająca przekroczenie ścieżki. W przypadku wykorzystania nieuwierzytelniony zdalny użytkownik może usunąć dowolne pliki z uprawnieniami systemowymi. Złośliwy użytkownik może wykorzystać tę lukę, wysyłając specjalnie spreparowany komunikat protokołu synchronizacji.
UaktualnienieTak
CVECVE-2023-2917
Krytyczność9.8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisZ powodu nieprawidłowej weryfikacji danych wejściowych istnieje luka w zabezpieczeniach umożliwiająca przekroczenie ścieżki za pośrednictwem pola nazwy pliku, gdy ThinManager przetwarza określoną funkcję. W przypadku wykorzystania nieuwierzytelniony zdalny atakujący może przesłać dowolne pliki do dowolnego katalogu na dysku, na którym jest zainstalowany ThinServer. Atakujący może wykorzystać tę lukę, wysyłając spreparowany komunikat protokołu synchronizacji.
UaktualnienieTak
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-23-234-03
Idź do oryginalnego materiału