Rockwell Automation informuje o nowych podatnościach w swoich produktach. (P24-033)
cert.pse-online.pl 3 tygodni temu
Produkt
DataEdgePlatform DataMosaix Private Cloud: Wersja 7.11 i wcześniejsze (CVE-2025-0659) DataEdgePlatform DataMosaix Private Cloud: Wersje 7.09 i wcześniejsze (CVE-2020-11656)
Numer CVE
CVE-2024-11932
Krytyczność
5.5/10
CVSS
AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:N
Opis
W DataMosaix Private Cloud istnieje luka w zabezpieczeniach związana z przechodzeniem przez ścieżkę. Określając sekwencję znaków w treści podatnego punktu końcowego, można nadpisać pliki poza zamierzonym katalogiem. Aktor zagrożenia z uprawnieniami administratora może wykorzystać tę lukę w zabezpieczeniach, aby nadpisać raporty, w tym projekty użytkowników.
Numer CVE
CVE-2020-11656
Krytyczność
9.8/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis
DataMosaix Private Cloud wykorzystuje bazę danych SQLite, która zawiera lukę w zabezpieczeniach umożliwiającą użycie po zwolnieniu w implementacji ALTER TABLE, co zostało zademonstrowane na przykładzie klauzuli ORDER BY należącej do złożonego polecenia SELECT.
W produktach Rockwell Automation FactoryTalk we wszystkich wersjach przed wersją 15.0 istnieje luka umożliwiająca lokalne wykonanie kodu. Luka wynika z domyślnego ustawienia w systemie Windows i umożliwia dostęp do wiersza poleceń jako użytkownik o wyższych uprawnieniach.
Numer CVE
CVE-2025-24480
Krytyczność
9.8/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis
W produktach Rockwell Automation FactoryTalk we wszystkich wersjach przed wersją 15.0 istnieje luka umożliwiająca zdalne wykonanie kodu. Luka w zabezpieczeniach wynika z braku oczyszczania danych wejściowych i może pozwolić zdalnemu atakującemu na uruchamianie poleceń lub kodu jako użytkownik o wysokich uprawnieniach.
