Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-03888

Опубликовано: 20 нояб. 2019
Источник: fstec
CVSS3: 6.1
CVSS2: 5.8
EPSS Низкий

Описание

Уязвимость программного средства управления зданием (управление контролем доступа, охранной системой, видеонаблюдением и автоматизацией) Andover Continuum связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки (XSS)

Вендор

Schneider Electric

Наименование ПО

Andover Continuum

Версия ПО

- (Andover Continuum)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя: https://www.se.com/ww/en/download/document/SEVD-2019-316-01/
Или:
Пользователи моделей контроллеров сетевого уровня 9680, 5740 и 5720, bCX4040, bCX9640 и 9702 должны отключить веб-сервер, установив порт веб-сервера на 0 через
веб-страницу контроллера.
Пользователи сетевых контроллеров моделей 9400, 9410, 9900, 9940 и 9924 должны связаться с группой поддержки Schneider Electric, чтобы получить уникальный файл, который позволит им отключить веб-серверы контроллеров.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 58%
0.00359
Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2019-6853

CVSS3: 6.1
nvd
около 6 лет назад

A CWE-79: Failure to Preserve Web Page Structure vulnerability exists in Andover Continuum (models 9680, 5740 and 5720, bCX4040, bCX9640, 9900, 9940, 9924 and 9702) , which could enable a successful Cross-site Scripting (XSS attack) when using the products web server.

github логотип

GHSA-pc4q-2v2h-h23c

CVSS3: 6.1
github
больше 3 лет назад

A CWE-79: Failure to Preserve Web Page Structure vulnerability exists in Andover Continuum (models 9680, 5740 and 5720, bCX4040, bCX9640, 9900, 9940, 9924 and 9702) , which could enable a successful Cross-site Scripting (XSS attack) when using the products web server.

EPSS

Процентиль: 58%
0.00359
Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2