Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-03320

Опубликовано: 10 мая 2022
Источник: fstec
CVSS3: 8.2
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость системы домашней автоматизации Wiser Smart программируемых логических контролеров Schneider Electric Wiser Controller EER21000 и Wiser Controller EER21001 связана с неправильным перемещением ресурса между областями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Schneider Electric

Наименование ПО

Wiser Smart

Версия ПО

до 4.5 включительно (Wiser Smart)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-130-03_WiserSmart_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-130-03
Организационные меры:
• Контроллеры не должны иметь общедоступный или доступный в Интернете IP-адрес.
• Не использовать переадресацию портов для доступа к продуктам из общедоступных сетей.
• Сегментирование сети.
• Использование наиболее надежного доступного шифрования Wi-Fi.
• Соблюдение парольной политики.
• Использование HTTPS в локальной сети.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 66%
0.00511
Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-30236

CVSS3: 8.2
nvd
больше 3 лет назад

A CWE-669: Incorrect Resource Transfer Between Spheres vulnerability exists that could allow unauthorized access when an attacker uses cross-domain attacks. Affected Products: Wiser Smart, EER21000 & EER21001 (V4.5 and prior)

github логотип

GHSA-r2fh-qm7g-x68j

CVSS3: 8.2
github
больше 3 лет назад

A CWE-669: Incorrect Resource Transfer Between Spheres vulnerability exists that could allow unauthorized access when an attacker uses cross-domain attacks. Affected Products: Wiser Smart, EER21000 & EER21001 (V4.5 and prior)

EPSS

Процентиль: 66%
0.00511
Низкий

8.2 High

CVSS3

8.5 High

CVSS2