Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04273

Опубликовано: 12 янв. 2021
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции Ethernet Download программного обеспечения для конфигурации HMI терминалов Schneider Electric EcoStruxure Operator Terminal Expert и программного обеспечения SCADA Pro-face BLUE связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Schneider Electric

Наименование ПО

EcoStruxure Operator Terminal Expert
Pro-face BLUE

Версия ПО

до 3.1 SP1B (EcoStruxure Operator Terminal Expert)
до 3.1 SP1B (Pro-face BLUE)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2021-012-01_EcoStruxure_Operator_Terminal_Expert_and_Pro-face_BLUE_Security_Notification.pdf&p_Doc_Ref=SEVD-2021-012-01

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 76%
0.00924
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-28221

CVSS3: 9.8
nvd
около 5 лет назад

A CWE-20: Improper Input Validation vulnerability exists in EcoStruxure™ Operator Terminal Expert and Pro-face BLUE (version details in the notification) that could cause arbitrary code execution when the Ethernet Download feature is enable on the HMI.

github логотип

GHSA-rv39-23hm-r9j8

github
больше 3 лет назад

A CWE-20: Improper Input Validation vulnerability exists in EcoStruxure™ Operator Terminal Expert and Pro-face BLUE (version details in the notification) that could cause arbitrary code execution when the Ethernet Download feature is enable on the HMI.

EPSS

Процентиль: 76%
0.00924
Низкий

8.8 High

CVSS3

10 Critical

CVSS2