Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01474

Опубликовано: 14 мар. 2023
Источник: fstec
CVSS3: 7.8
CVSS2: 7.2
EPSS Средний

Описание

Уязвимость панели индикаторов сервера данных SCADA-системы IGSS Data Server и инструментов мониторинга системы Custom Reports и IGSS Dashboard связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код в целевой системе при помощи специально созданного файла

Вендор

Schneider Electric

Наименование ПО

IGSS Data Server
IGSS Dashboard
Custom Reports

Версия ПО

до 16.0.0.23040 включительно (IGSS Data Server)
до 16.0.0.23040 включительно (IGSS Dashboard)
до 16.0.0.23040 включительно (Custom Reports)

Тип ПО

Программное средство АСУ ТП
Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-04.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.14442
Средний

7.8 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-27978

CVSS3: 7.8
nvd
почти 3 года назад

A CWE-502: Deserialization of Untrusted Data vulnerability exists in the Dashboard module that could cause an interpretation of malicious payload data, potentially leading to remote code execution when an attacker gets the user to open a malicious file. Affected Products: IGSS Data Server(IGSSdataServer.exe)(V16.0.0.23040 and prior), IGSS Dashboard(DashBoard.exe)(V16.0.0.23040 and prior), Custom Reports(RMS16.dll)(V16.0.0.23040 and prior).

github логотип

GHSA-j943-j589-56x5

CVSS3: 7.8
github
почти 3 года назад

A CWE-502: Deserialization of Untrusted Data vulnerability exists in the Dashboard module that could cause an interpretation of malicious payload data, potentially leading to remote code execution when an attacker gets the user to open a malicious file. Affected Products: IGSS Data Server(IGSSdataServer.exe)(V16.0.0.23040 and prior), IGSS Dashboard(DashBoard.exe)(V16.0.0.23040 and prior), Custom Reports(RMS16.dll)(V16.0.0.23040 and prior).

EPSS

Процентиль: 94%
0.14442
Средний

7.8 High

CVSS3

7.2 High

CVSS2