Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-00125

Опубликовано: 23 нояб. 2018
Источник: fstec
CVSS3: 5.4
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения программируемых логических контролеров Schneider Electric Modicon связана с недостатками нейтрализации специальных символов. Эксплуатация уязвимости может позволить нарушителю инициировать процедуру смены пароля аутентифицированного пользователя

Вендор

Schneider Electric

Наименование ПО

Modicon M340
Modicon Premium
Modicon Quantum
Modicon BMXNOR0200

Версия ПО

- (Modicon M340)
- (Modicon Premium)
- (Modicon Quantum)
- (Modicon BMXNOR0200)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Компенсирующие меры:
Настройка списков контроля доступа для ограничения доступа к WEB-серверам авторизованными IP-адресами.
Защита доступа к продуктам Modicon с помощью сетевых, промышленных и прикладных брандмауэров.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 45%
0.00223
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2018-7831

CVSS3: 8.8
nvd
около 7 лет назад

An Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) vulnerability exists in the embedded web servers in all Modicon M340, Premium, Quantum PLCs and BMXNOR0200 allowing an attacker to send a specially crafted URL to a currently authenticated web server user to execute a password change on the web server.

github логотип

GHSA-p8fg-26j2-2q9g

CVSS3: 8.8
github
больше 3 лет назад

An Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) vulnerability exists in the embedded web servers in all Modicon M340, Premium, Quantum PLCs and BMXNOR0200 allowing an attacker to send a specially crafted URL to a currently authenticated web server user to execute a password change on the web server.

EPSS

Процентиль: 45%
0.00223
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2