Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-00131

Опубликовано: 13 дек. 2018
Источник: fstec
CVSS3: 7.4
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость программного обеспечения энергомониторинга Power Monitoring Expert связана с недостаточной защитой WEB-страниц. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправлять пользователя на произвольный URL-адрес

Вендор

Schneider Electric

Наименование ПО

EcoStruxure Power Monitoring Expert
EcoStruxure Energy Expert
EcoStruxure Power SCADA Operation Advanced Reports and Dashboards Module

Версия ПО

8.2 (EcoStruxure Power Monitoring Expert)
9.0 (EcoStruxure Power Monitoring Expert)
1.3 (EcoStruxure Energy Expert)
2.0 (EcoStruxure Energy Expert)
8.2 (EcoStruxure Power SCADA Operation Advanced Reports and Dashboards Module)
9.0 (EcoStruxure Power SCADA Operation Advanced Reports and Dashboards Module)

Тип ПО

Программное средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)

Возможные меры по устранению уязвимости

Для Power Monitoring Expert 8.2, Energy Expert 1.3 и Power SCADA Operation Advanced Reports and Dashboards Module 8.2:
Обновление ПО до версии 8.2 Cumulative Update 3:
https://schneider-electric.box.com/v/PME82-CU3-GeneralRelease
Для Power Monitoring Expert 9.0, Energy Expert 2.0 и Power SCADA Operation Advanced Reports and Dashboards Module 9.0:
Обновление ПО до версии 9.0 Cumulative Update 1:
https://schneider-electric.box.com/v/PME90-CU1-18328-01

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 39%
0.00173
Низкий

7.4 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2018-7797

CVSS3: 6.1
nvd
около 7 лет назад

A URL redirection vulnerability exists in Power Monitoring Expert, Energy Expert (formerly Power Manager) - EcoStruxure Power Monitoring Expert (PME) v8.2 (all editions), EcoStruxure Energy Expert 1.3 (formerly Power Manager), EcoStruxure Power SCADA Operation (PSO) 8.2 Advanced Reports and Dashboards Module, EcoStruxure Power Monitoring Expert (PME) v9.0, EcoStruxure Energy Expert v2.0, and EcoStruxure Power SCADA Operation (PSO) 9.0 Advanced Reports and Dashboards Module which could cause a phishing attack when redirected to a malicious site.

github логотип

GHSA-9p3j-xx7r-8mm9

CVSS3: 6.1
github
больше 3 лет назад

A URL redirection vulnerability exists in Power Monitoring Expert, Energy Expert (formerly Power Manager) - EcoStruxure Power Monitoring Expert (PME) v8.2 (all editions), EcoStruxure Energy Expert 1.3 (formerly Power Manager), EcoStruxure Power SCADA Operation (PSO) 8.2 Advanced Reports and Dashboards Module, EcoStruxure Power Monitoring Expert (PME) v9.0, EcoStruxure Energy Expert v2.0, and EcoStruxure Power SCADA Operation (PSO) 9.0 Advanced Reports and Dashboards Module which could cause a phishing attack when redirected to a malicious site.

EPSS

Процентиль: 39%
0.00173
Низкий

7.4 High

CVSS3

7.8 High

CVSS2