BDU:2021-04096

Опубликовано: 12 мая 2020

Источник: fstec

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения сенсорной панели U.motion связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Schneider Electric

Наименование ПО

MTN6501-0001

MTN6501-0002

MTN6260-0410

MTN6260-0415

MTN6260-0310

MTN6260-0315

Версия ПО

до 1.4.2 (MTN6501-0001)

до 1.4.2 (MTN6501-0002)

до 1.4.2 (MTN6260-0410)

до 1.4.2 (MTN6260-0415)

до 1.4.2 (MTN6260-0310)

до 1.4.2 (MTN6260-0315)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-133-03_U.motion_Servers_and_Touch_Panels_Notification_V1.2.pdf&p_Doc_Ref=SEVD-2020-133-03

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-7500
CVE

EPSS

Процентиль: 74%

0.00798

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

CVE-2020-7500

CVSS3: 9.8

nvd

больше 5 лет назад

A CWE-89:Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability exists in U.motion Servers and Touch Panels (affected versions listed in the security notification) which could cause arbitrary code to be executed when a malicious command is entered.

GHSA-pvq3-jwgr-p6qw

github

больше 3 лет назад