Schneider Electric informuje o nowych podatnościach w swoich produktach.(P24-226)
cert.pse-online.pl 5 miesięcy temu
Produkt
Kontroler Wiser Home WHC-5918A – wszystkie wersje
Numer CVE
CVE-2024-6407
Krytyczność
9,8/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis
CWE-200: Istnieje luka w zabezpieczeniach umożliwiająca ujawnienie informacji, która może spowodować ujawnienie danych uwierzytelniających po wysłaniu do urządzenia specjalnie spreparowanej wiadomości.
EcoStruxureTM Foxboro DCS Core Control Services wersja 9.8 I wcześniejsze
Numer CVE
CVE-2024-5679
Krytyczność
7,1/10
CVSS
AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Opis
CWE-787: Istnieje luka w zabezpieczeniach umożliwiająca zapis poza granicami, która może spowodować lokalną odmowę usługi lub wyciek pamięci jądra, gdy złośliwy aktor z dostępem użytkownika lokalnego utworzy skrypt/program przy użyciu wywołania IOCTL w sterowniku Foxboro.sys.
Numer CVE
CVE-2024-5680
Krytyczność
7,1/10
CVSS
AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Opis
CWE-129: Istnieje luka w zabezpieczeniach dotycząca nieprawidłowej weryfikacji indeksu tablicy, która może spowodować lokalną odmowę usługi, gdy złośliwy aktor z dostępem użytkownika lokalnego utworzy skrypt/program przy użyciu wywołania IOCTL w sterowniku Foxboro.sys.
Numer CVE
CVE-2024-5681
Krytyczność
7.8/10
CVSS
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis
CWE-20: Istnieje luka w zabezpieczeniach dotycząca nieprawidłowego sprawdzania danych wejściowych, która może spowodować lokalną odmowę usługi, eskalację uprawnień i potencjalne wykonanie jądra, gdy złośliwy aktor z dostępem użytkownika lokalnego stworzy skrypt/program przy użyciu wywołania IOCTL w sterowniku Foxboro.sys.
CWE-22: Niewłaściwe ograniczenie nazwy ścieżki do katalogu z ograniczeniami („Path Traversal”), która może skutkować zdalnym wykonaniem kodu, gdy uwierzytelniony użytkownik wykona zapisany plik projektu, który został zmodyfikowany przez złośliwego aktora.
Modicon Controllers M241 / M251 – wszystkie wersje Modicon Controllers M258 / LMC058 – wszystkie wersje Modicon Controllers M262 – wszystkie wersje
Numer CVE
CVE-2024-6528
Krytyczność
5.4/10
CVSS
AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Opis
CWE-79: Istnieje luka w zabezpieczeniach dotycząca niewłaściwej neutralizacji danych wejściowych podczas generowania strony internetowej („Cross-site Scripting”), która może powodować lukę prowadzącą do stanu wykonywania skryptów między witrynami, w wyniku którego atakujący mogą spowodować, iż przeglądarka ofiary uruchomi dowolny kod JavaScript podczas odwiedzania strony zawierający wstrzyknięty ładunek.