Описание
Уязвимость элемента управления ActiveX SCADA-сервера Measuresoft ScadaPro Server и ScadaPro Server Client связана с некорректным определением ссылки перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии
Вендор
Measuresoft Development Ltd
Наименование ПО
ScadaPro Server
ScadaPro Server Client
Версия ПО
- (ScadaPro Server)
- (ScadaPro Server Client)
Тип ПО
Средство АСУ ТП
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- запрет открытия и использования файлов, полученных из недоверенных источников;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- использование учетных записей пользователей с минимально необходимым уровнем привилегий.
Использование рекомендаций:
https://www.cisa.gov/uscert/ics/advisories/icsa-22-235-06
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимостей
- CVE
- ICSA
EPSS
Процентиль: 26%
0.00091
Низкий
7.8 High
CVSS3
7.2 High
CVSS2
Связанные уязвимости
CVSS3: 7.8
nvd
больше 3 лет назад
Measuresoft ScadaPro Server and Client (All Versions) do not properly resolve links before file access; this could allow privilege escalation..
CVSS3: 7.8
github
больше 3 лет назад
Measuresoft ScadaPro Server and Client (All Versions) do not properly resolve links before file access; this could allow privilege escalation..
EPSS
Процентиль: 26%
0.00091
Низкий
7.8 High
CVSS3
7.2 High
CVSS2