Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01473

Опубликовано: 14 мар. 2023
Источник: fstec
CVSS3: 6.5
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость исполняемого файла IGSSdataServer.exe сервера данных SCADA-системы IGSS Data Server и исполняемого файла DashBoard.exe информационной панели IGSS Dashboard и библиотеки RMS16.dll модуля отчетов Custom Reports связана с недостаточной проверкой подлинности данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, удалить файлы в каталоге отчетов в результате отправки специально созданного сообщения

Вендор

Schneider Electric

Наименование ПО

IGSS Data Server
IGSS Dashboard
Custom Reports

Версия ПО

до 16.0.0.23040 включительно (IGSS Data Server)
до 16.0.0.23040 включительно (IGSS Dashboard)
до 16.0.0.23040 включительно (Custom Reports)

Тип ПО

Программное средство АСУ ТП
Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-04.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 24%
0.0008
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-27977

CVSS3: 6.5
nvd
почти 3 года назад

A CWE-345: Insufficient Verification of Data Authenticity vulnerability exists in the Data Server that could cause access to delete files in the IGSS project report directory, this could lead to loss of data when an attacker sends specific crafted messages to the Data Server TCP port. Affected Products: IGSS Data Server(IGSSdataServer.exe)(V16.0.0.23040 and prior), IGSS Dashboard(DashBoard.exe)(V16.0.0.23040 and prior), Custom Reports(RMS16.dll)(V16.0.0.23040 and prior).

github логотип

GHSA-8c9m-95jr-9f2r

CVSS3: 7.5
github
почти 3 года назад

A CWE-345: Insufficient Verification of Data Authenticity vulnerability exists in the Data Server that could cause access to delete files in the IGSS project report directory, this could lead to loss of data when an attacker sends specific crafted messages to the Data Server TCP port. Affected Products: IGSS Data Server(IGSSdataServer.exe)(V16.0.0.23040 and prior), IGSS Dashboard(DashBoard.exe)(V16.0.0.23040 and prior), Custom Reports(RMS16.dll)(V16.0.0.23040 and prior).

EPSS

Процентиль: 24%
0.0008
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2