Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-00139

Опубликовано: 20 дек. 2018
Источник: fstec
CVSS3: 7.5
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость платформы мониторинга IIoT Monitor связана с некорректным контролем внешних XML-ссылок. Эксплуатация уязимости может позволить нарушителю, действующему удаленно, внедрять некорректные документы в выходные данные

Вендор

Schneider Electric

Наименование ПО

IIoT Monitor

Версия ПО

3.1.38 (IIoT Monitor)

Тип ПО

Программное средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
Размещение сети систем управления, безопасности и удаленных устройств за брандмауэрами.
Установление физического контроля, чтобы посторонние лица не имели доступ к ICS и контроллерам безопасности, периферийному оборудованию или ICS и сетям безопасности.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 53%
0.00307
Низкий

7.5 High

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2018-7837

CVSS3: 7.5
nvd
около 7 лет назад

An Improper Restriction of XML External Entity Reference ('XXE') vulnerability exists on numerous methods of the IIoT Monitor 3.1.38 software that could allow the software to resolve documents outside of the intended sphere of control, causing the software to embed incorrect documents into its output and expose restricted information.

github логотип

GHSA-j8vf-v36p-7qjw

CVSS3: 7.5
github
больше 3 лет назад

An Improper Restriction of XML External Entity Reference ('XXE') vulnerability exists on numerous methods of the IIoT Monitor 3.1.38 software that could allow the software to resolve documents outside of the intended sphere of control, causing the software to embed incorrect documents into its output and expose restricted information.

EPSS

Процентиль: 53%
0.00307
Низкий

7.5 High

CVSS3

9.4 Critical

CVSS2