BDU:2023-00692

Опубликовано: 10 янв. 2023

Источник: fstec

CVSS3: 8.2

CVSS2: 8.5

EPSS Низкий

Описание

Уязвимость программного средства управления лицензиями Automation License Manager связана с внешним управлением именем. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, переименовывать и перемещать файлы как системный пользователь

Вендор

Siemens AG

Наименование ПО

Automation License Manager

Версия ПО

5.0 (Automation License Manager)

до 6.0 SP9 Upd4 (Automation License Manager)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://cert-portal.siemens.com/productcert/pdf/ssa-476715.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-43513
CVE

EPSS

Процентиль: 38%

0.00168

Низкий

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

CVE-2022-43513

CVSS3: 8.2

nvd

около 3 лет назад

A vulnerability has been identified in Automation License Manager V5 (All versions), Automation License Manager V6 (All versions < V6.0 SP9 Upd4), TeleControl Server Basic V3 (All versions < V3.1.2). The affected components allow to rename license files with user chosen input without authentication. This could allow an unauthenticated remote attacker to rename and move files as SYSTEM user.

GHSA-3mf9-jjrh-xqv8

CVSS3: 7.5

github