BDU:2019-02113

Опубликовано: 14 мая 2019

Источник: fstec

CVSS3: 6.1

CVSS2: 4.3

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения шлюза ConneXium TSXETG100 связана с недостаточной защитой структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный скрипт в контексте текущего пользователя веб-интерфейса с помощью специально сформированного URL-адреса со встроенным скриптом

Вендор

Schneider Electric

Наименование ПО

ConneXium TSXETG100

Версия ПО

- (ConneXium TSXETG100)

Тип ПО

Программное средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование брандмауэра приложения для проверки входных данных пользователя и соответствующей блокировки трафика

Использование стандартного брандмауэра для ограничения трафика HTTP в вашей сети и ограничения несанкционированного доступа к продукту TSXETG100

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-7834
CVE

EPSS

Процентиль: 50%

0.00266

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

CVE-2018-7834

CVSS3: 6.1

nvd

больше 6 лет назад

A CWE-79 Cross-Site Scripting vulnerability exists in all versions of the TSXETG100 allowing an attacker to send a specially crafted URL with an embedded script to a user that would then be executed within the context of that user.

GHSA-7577-w49p-2f79

CVSS3: 6.1

github

больше 3 лет назад

EPSS

Процентиль: 50%

0.00266

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2