Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04322

Опубликовано: 14 июл. 2020
Источник: fstec
CVSS3: 7.9
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость программного обеспечения для обновления продуктов Schneider Electric Software Update связана с использованием открытой переадресации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Schneider Electric

Наименование ПО

Schneider Electric Software Update

Версия ПО

до 2.5.0 (Schneider Electric Software Update)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-196-01_SESU_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-196-01

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 55%
0.00325
Низкий

7.9 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-7520

CVSS3: 4.7
nvd
больше 5 лет назад

A CWE-601: URL Redirection to Untrusted Site ('Open Redirect') vulnerability exists in Schneider Electric Software Update (SESU), V2.4.0 and prior, which could cause execution of malicious code on the victim's machine. In order to exploit this vulnerability, an attacker requires privileged access on the engineering workstation to modify a Windows registry key which would divert all traffic updates to go through a server in the attacker's possession. A man-in-the-middle attack is then used to complete the exploit.

github логотип

GHSA-392j-2p2c-c7m3

github
больше 3 лет назад

A CWE-601: URL Redirection to Untrusted Site ('Open Redirect') vulnerability exists in Schneider Electric Software Update (SESU), V2.4.0 and prior, which could cause execution of malicious code on the victim's machine. In order to exploit this vulnerability, an attacker requires privileged access on the engineering workstation to modify a Windows registry key which would divert all traffic updates to go through a server in the attacker's possession. A man-in-the-middle attack is then used to complete the exploit.

EPSS

Процентиль: 55%
0.00325
Низкий

7.9 High

CVSS3

6.8 Medium

CVSS2