BDU:2021-04170

Опубликовано: 19 нояб. 2020

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения модульного контроллера для автоматизации трансформаторных подстанций Schneider Electric Easergy T300 RTU связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации, вызвать отказ в обслуживании или выполнить произвольные команды

Вендор

Schneider Electric

Наименование ПО

Easergy T300 (RTU)

Версия ПО

до 2.7.1 (Easergy T300 (RTU))

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-315-06_Easergy_T300_Security_Notification_V2.0.pdf&p_Doc_Ref=SEVD-2020-315-06

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-315-06_Easergy_T300_Security_Notification_V2.0.pdf&p_Doc_Ref=SEVD-2020-315-06

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-7561
CVE

EPSS

Процентиль: 69%

0.00602

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2020-7561

CVSS3: 9.8

nvd

около 5 лет назад

A CWE-306: Missing Authentication for Critical Function vulnerability exists in Easergy T300 (with firmware 2.7 and older) that could cause a wide range of problems, including information exposure, denial of service, and command execution when access to a resource from an attacker is not restricted or incorrectly restricted.

GHSA-7vr9-xc65-cx9c

CVSS3: 9.8

github

больше 3 лет назад

A CWE-284: Improper Access Control vulnerability exists in Easergy T300 (with firmware 2.7 and older) that could cause a wide range of problems, including information exposure, denial of service, and command execution when access to a resource from an attacker is not restricted or incorrectly restricted.

EPSS

Процентиль: 69%

0.00602

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2