Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-03321

Опубликовано: 10 мая 2022
Источник: fstec
CVSS3: 6.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость системы домашней автоматизации Wiser Smart программируемых логических контролеров Schneider Electric Wiser Controller EER21000 и Wiser Controller EER21001 связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии с помощью специально созданной вредоносной веб-страницы

Вендор

Schneider Electric

Наименование ПО

Wiser Smart

Версия ПО

до 4.5 включительно (Wiser Smart)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-130-03_WiserSmart_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-130-03
Организационные меры:
• Контроллеры не должны иметь общедоступный или доступный в Интернете IP-адрес.
• Не использовать переадресацию портов для доступа к продуктам из общедоступных сетей.
• Сегментирование сети.
• Использование наиболее надежного доступного шифрования Wi-Fi.
• Соблюдение парольной политики.
• Использование HTTPS в локальной сети.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 55%
0.0033
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-30233

CVSS3: 6.5
nvd
больше 3 лет назад

A CWE-20: Improper Input Validation vulnerability exists that could allow the product to be maliciously manipulated when the user is tricked into performing certain actions on a webpage. Affected Products: Wiser Smart, EER21000 & EER21001 (V4.5 and prior)

github логотип

GHSA-5m7g-x3m4-mgrh

CVSS3: 6.5
github
больше 3 лет назад

A CWE-20: Improper Input Validation vulnerability exists that could allow the product to be maliciously manipulated when the user is tricked into performing certain actions on a webpage. Affected Products: Wiser Smart, EER21000 & EER21001 (V4.5 and prior)

EPSS

Процентиль: 55%
0.0033
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2