BDU:2023-01154

Опубликовано: 13 дек. 2022

Источник: fstec

CVSS3: 7.8

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость программного обеспечения для настройки, тестирования и ввода в эксплуатацию распределительного щита Schneider Electric EcoStruxure Power Commission связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Вендор

Schneider Electric

Наименование ПО

EcoStruxure Power Commission

Версия ПО

до 2.26 (EcoStruxure Power Commission)

Тип ПО

Программное средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-347-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-347-03_EcoStruxure_Power_Commission_Security_Notification.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-4062
CVE

EPSS

Процентиль: 17%

0.00054

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2022-4062

CVSS3: 7.8

nvd

около 3 лет назад

A CWE-285: Improper Authorization vulnerability exists that could cause unauthorized access to certain software functions when an attacker gets access to localhost interface of the EcoStruxure Power Commission application. Affected Products: EcoStruxure Power Commission (Versions prior to V2.25)

GHSA-5cvq-r9w7-fcqv

CVSS3: 3.3

github