Rockwell Automation informuje o nowych podatnościach w swoich produktach. (P24-419)

cert.pse-online.pl 3 dni temu

Produkt	PM1k 1408-BC3A-485: Wersje wcześniejsze niż 4.020 PM1k 1408-BC3A-ENT: Wersje wcześniejsze niż 4.020 PM1k 1408-TS3A-485: Wersje wcześniejsze niż 4.020 PM1k 1408-TS3A-ENT: Wersje wcześniejsze niż 4.020 PM1k 1408-EM3A-485: Wersje wcześniejsze niż 4.020 PM1k 1408-EM3A-ENT: Wersje wcześniejsze niż 4.020 PM1k 1408-TR1A-485: Wersje wcześniejsze niż 4.020 PM1k 1408-TR2A-485: Wersje wcześniejsze niż 4.020 PM1k 1408-EM1A-485: Wersje wcześniejsze niż 4.020 PM1k 1408-EM2A-485: Wersje wcześniejsze niż 4.020 PM1k 1408-TR1A-ENT: Wersje wcześniejsze niż 4.020 PM1k 1408-TR2A-ENT: Wersje wcześniejsze niż 4.020 PM1k 1408-EM1A-ENT: Wersje wcześniejsze niż 4.020 PM1k 1408-EM2A-ENT: Wersje wcześniejsze niż 4.020
Numer CVE	CVE-2024-12371
Krytyczność	9,8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	W dotkniętym produkcie występuje luka bezpieczeństwa umożliwiająca przejęcie urządzenia. Ta luka bezpieczeństwa umożliwia konfigurację nowego użytkownika Ubezpieczonego bez uwierzytelniania za pośrednictwem interfejsu API. Użytkownik Ubezpieczony jest najbardziej uprzywilejowanym użytkownikiem, który może wykonywać operacje edycji, tworzyć użytkowników administracyjnych i przywracać ustawienia fabryczne.

Numer CVE	CVE-2024-12372
Krytyczność	9,8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	W dotkniętym produkcie występuje luka bezpieczeństwa umożliwiająca odmowę usługi i możliwe zdalne wykonanie kodu. Luka bezpieczeństwa powoduje uszkodzenie pamięci sterty, co może naruszyć integralność systemu, potencjalnie umożliwiając zdalne wykonanie kodu lub atak typu odmowa usługi.

Numer CVE	CVE-2024-12373
Krytyczność	9,8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	W zagrożonym produkcie występuje luka umożliwiająca odmowę usługi. Luka powoduje przepełnienie bufora, co potencjalnie może spowodować odmowę usługi.

Aktualizacja	TAK
Link	https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-03