Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2017-02513

Опубликовано: 21 сент. 2017
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость HMI/SCADA-систем Schneider Electric InTouch Machine Edition и InduSoft Web Studio связана с недостатками процедуры аутентификации HMI-клиентов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процедуру аутентификации, выполнить произвольные команды и получить полный контроль над сервером

Вендор

Schneider Electric

Наименование ПО

InduSoft Web Studio
InTouch Machine Edition

Версия ПО

до 8.0 SP2 включительно (InduSoft Web Studio)
до 8.0 SP2 включительно (InTouch Machine Edition)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
http://software.schneider-electric.com/support/cyber-security-updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 81%
0.01586
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2017-13997

CVSS3: 9.8
nvd
больше 8 лет назад

A Missing Authentication for Critical Function issue was discovered in Schneider Electric InduSoft Web Studio v8.0 SP2 or prior, and InTouch Machine Edition v8.0 SP2 or prior. InduSoft Web Studio provides the capability for an HMI client to trigger script execution on the server for the purposes of performing customized calculations or actions. A remote malicious entity could bypass the server authentication and trigger the execution of an arbitrary command. The command is executed under high privileges and could lead to a complete compromise of the server.

github логотип

GHSA-mpcf-5x9h-p6p7

CVSS3: 9.8
github
больше 3 лет назад

A Missing Authentication for Critical Function issue was discovered in Schneider Electric InduSoft Web Studio v8.0 SP2 or prior, and InTouch Machine Edition v8.0 SP2 or prior. InduSoft Web Studio provides the capability for an HMI client to trigger script execution on the server for the purposes of performing customized calculations or actions. A remote malicious entity could bypass the server authentication and trigger the execution of an arbitrary command. The command is executed under high privileges and could lead to a complete compromise of the server.

EPSS

Процентиль: 81%
0.01586
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2