BDU:2023-01471

Опубликовано: 14 мар. 2023

Источник: fstec

CVSS3: 7.8

CVSS2: 7.2

EPSS Низкий

Описание

Уязвимость компонента Custom Reports сервера данных SCADA-системы IGSS Data Server и инструментов мониторинга системы Custom Reports и IGSS Dashboard существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально созданного файла

Вендор

Schneider Electric

Наименование ПО

IGSS Data Server

IGSS Dashboard

Custom Reports

Версия ПО

до 16.0.0.23040 включительно (IGSS Data Server)

до 16.0.0.23040 включительно (IGSS Dashboard)

до 16.0.0.23040 включительно (Custom Reports)

Тип ПО

Программное средство АСУ ТП

Средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-04.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 64%

0.00468

Низкий

7.8 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

CVE-2023-27984

CVSS3: 7.8

nvd

почти 3 года назад

A CWE-20: Improper Input Validation vulnerability exists in Custom Reports that could cause a macro to be executed, potentially leading to remote code execution when a user opens a malicious report file planted by an attacker. Affected Products: IGSS Data Server(IGSSdataServer.exe)(V16.0.0.23040 and prior), IGSS Dashboard(DashBoard.exe)(V16.0.0.23040 and prior), Custom Reports(RMS16.dll)(V16.0.0.23040 and prior).

GHSA-2455-5p2g-hrg7

CVSS3: 8.8

github