Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00682

Опубликовано: 13 апр. 2022
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость специализированной среды разработки программного обеспечения SCADAPack Workbench, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю выполнить передачу данных из локальных файлов в удаленную систему

Вендор

Schneider Electric

Наименование ПО

SCADAPack Workbench

Версия ПО

до 6.6.8а включительно (SCADAPack Workbench)

Тип ПО

Программное средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- запрет открытия и использования файлов, полученных из недоверенных источников;
- сегментирование сети с целью ограничения доступа к промышленному оборудованию из других подсетей;
- настройка встроенной системы разграничения доступа;
- минимизация пользовательских привилегий;
- использование систем обнаружения и предотвращения вторжений.
Использование рекомендаций:
https://www.se.com/ww/en/download/document/SEVD-2022-087-01/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 46%
0.0023
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-0221

CVSS3: 5.5
nvd
почти 4 года назад

A CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could result in information disclosure when opening a malicious solution file provided by an attacker with SCADAPack Workbench. This could be exploited to pass data from local files to a remote system controlled by an attacker. Affected Product: SCADAPack Workbench (6.6.8a and prior)

github логотип

GHSA-g89x-g6h5-52vm

CVSS3: 5.5
github
почти 4 года назад

A CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could result in information disclosure when opening a malicious solution file provided by an attacker with SCADAPack Workbench. This could be exploited to pass data from local files to a remote system controlled by an attacker. Affected Product: SCADAPack Workbench (6.6.8a and prior)

EPSS

Процентиль: 46%
0.0023
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2