Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01051

Опубликовано: 11 янв. 2022
Источник: fstec
CVSS3: 8.8
CVSS2: 8.3
EPSS Низкий

Описание

Уязвимость реализации протокола GOOSE (Generic Object-Oriented Substation Event) микропрограммного обеспечения устройств релейной защиты и управления Schneider Electric Easergy P5 связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код или вызвать отказ в обслуживании путем отправки специально созданных пакетов

Вендор

Schneider Electric

Наименование ПО

Easergy P5

Версия ПО

до 01.401.101 (Easergy P5)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя (обновление до актуальной версии):
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-03
Компенсирующие меры: отключение сервиса GOOSE или использование ее в доверенной локальной сети

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 22%
0.00071
Низкий

8.8 High

CVSS3

8.3 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-22723

CVSS3: 8.8
nvd
около 4 лет назад

A CWE-120: Buffer Copy without Checking Size of Input vulnerability exists that could lead to a buffer overflow causing program crashes and arbitrary code execution when specially crafted packets are sent to the device over the network. Protection functions and tripping function via GOOSE can be impacted. Affected Product: Easergy P5 (All firmware versions prior to V01.401.101)

github логотип

GHSA-mm7j-7gq2-x4fr

github
почти 4 года назад

A CWE-120: Buffer Copy without Checking Size of Input vulnerability exists that could lead to a buffer overflow causing program crashes and arbitrary code execution when specially crafted packets are sent to the device over the network. Protection functions and tripping function via GOOSE can be impacted. Affected Product: Easergy P5 (All firmware versions prior to V01.401.101)

EPSS

Процентиль: 22%
0.00071
Низкий

8.8 High

CVSS3

8.3 High

CVSS2