BDU:2022-04250

Опубликовано: 23 июн. 2022

Источник: fstec

CVSS3: 3.8

CVSS2: 5.5

EPSS Низкий

Описание

Уязвимость программной платформы для промышленной автоматизации и Интернета вещей Elcomplus SmartICS связана с ошибками в обработке относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию и подменить произвольные файлы с помощью специально созданного HTTP-запроса

Вендор

Elcomplus

Наименование ПО

SmartICS

Версия ПО

до 2.4 (SmartICS)

Тип ПО

Программное средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)

Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://www.cisa.gov/uscert/ics/advisories/icsa-22-174-05

Компенсирующие меры:

- сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;

- ограничение доступа к оборудованию из общедоступных сетей (Интернет);

- использование средств межсетевого экранирования;

- использование VPN для организации удаленного доступа.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 37%

0.00158

Низкий

3.8 Low

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

CVE-2022-2106

CVSS3: 3.8

nvd

больше 3 лет назад

Elcomplus SmartICS v2.3.4.0 does not validate the filenames sufficiently, which enables authenticated administrator-level users to perform path traversal attacks and specify arbitrary files.

GHSA-qrhx-g8ph-h5v3

CVSS3: 2.7

github