BDU:2019-00121

Опубликовано: 23 нояб. 2018

Источник: fstec

CVSS3: 6.5

CVSS2: 6.4

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения программируемых логических контролеров Schneider Electric Modicon связана с отсутствием необходмой проверки при удалении пароля. Эксплуатация уязвимости может позволить нарушителю, не прошедшему проверку подлинности, получить доступ к функции удаления пароля WEB-сервера

Вендор

Schneider Electric

Наименование ПО

Modicon M340

Modicon Premium

Modicon Quantum

Modicon BMXNOR0200

Версия ПО

- (Modicon M340)

- (Modicon Premium)

- (Modicon Quantum)

- (Modicon BMXNOR0200)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:

Настройка списков контроля доступа для ограничения доступа к WEB-серверам авторизованными IP-адресами.

Защита доступа к продуктам Modicon с помощью сетевых, промышленных и прикладных брандмауэров

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-7809
CVE

EPSS

Процентиль: 83%

0.01984

Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

CVE-2018-7809

CVSS3: 9.8

nvd

около 7 лет назад

An Unverified Password Change vulnerability exists in the embedded web servers in all Modicon M340, Premium, Quantum PLCs and BMXNOR0200 which could allow an unauthenticated remote user to access the password delete function of the web server.

GHSA-r8f4-qrcc-h436