Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01475

Опубликовано: 14 мар. 2023
Источник: fstec
CVSS3: 6.5
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость исполняемого файла IGSSdataServer.exe сервера данных SCADA-системы IGSS Data Server и исполняемого файла DashBoard.exe информационной панели IGSS Dashboard и библиотеки RMS16.dll модуля отчетов Custom Reports связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, удалить произвольные данные

Вендор

Schneider Electric

Наименование ПО

IGSS Data Server
IGSS Dashboard
Custom Reports

Версия ПО

до 16.0.0.23040 включительно (IGSS Data Server)
до 16.0.0.23040 включительно (IGSS Dashboard)
до 16.0.0.23040 включительно (Custom Reports)

Тип ПО

Программное средство АСУ ТП
Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-04.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 26%
0.0009
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-27983

CVSS3: 6.5
nvd
почти 3 года назад

A CWE-306: Missing Authentication for Critical Function vulnerability exists in the Data Server TCP interface that could allow deletion of reports from the IGSS project report directory, this would lead to loss of data when an attacker abuses this functionality. Affected Products: IGSS Data Server(IGSSdataServer.exe)(V16.0.0.23040 and prior), IGSS Dashboard(DashBoard.exe)(V16.0.0.23040 and prior), Custom Reports(RMS16.dll)(V16.0.0.23040 and prior).

github логотип

GHSA-m2r7-25m3-rr8g

CVSS3: 5.3
github
почти 3 года назад

A CWE-306: Missing Authentication for Critical Function vulnerability exists in the Data Server TCP interface that could allow deletion of reports from the IGSS project report directory, this would lead to loss of data when an attacker abuses this functionality. Affected Products: IGSS Data Server(IGSSdataServer.exe)(V16.0.0.23040 and prior), IGSS Dashboard(DashBoard.exe)(V16.0.0.23040 and prior), Custom Reports(RMS16.dll)(V16.0.0.23040 and prior).

EPSS

Процентиль: 26%
0.0009
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2