Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01631

Опубликовано: 13 фев. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость серверной части конфигурации микропрограммного обеспечения программируемых логических контроллеров WAGO PFC100/PFC200, CC100, Edge Controller и микропрограммного обеспечения сенсорных панелей WAGO Touch Panel 600 связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записывать произвольные данные с привилегиями root

Вендор

WAGO Kontakttechnik GmbH & Co. KG

Наименование ПО

WAGO Compact Controller CC100
WAGO Edge Controller
WAGO PFC100/PFC200
WAGO Touch Panel 600

Версия ПО

от FW16 до FW22 включительно (WAGO Compact Controller CC100)
FW23 (WAGO Compact Controller CC100)
FW23 (WAGO Edge Controller)
от FW18 до FW22 включительно (WAGO Edge Controller)
FW23 (WAGO PFC100/PFC200)
от FW16 до FW22 включительно (WAGO PFC100/PFC200)
FW23 (WAGO Touch Panel 600)
от FW16 до FW22 включительно (WAGO Touch Panel 600)

Тип ПО

Средство АСУ ТП
ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://cert.vde.com/en/advisories/VDE-2022-060/
Компенсирующие меры:
- отключение веб-интерфейса управления;
- ограничение доступа к устройству из внешних сетей (Интернет);
- сегментирование сети с целью ограничения доступа к устройству из других подсетей;
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 82%
0.01776
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-45140

CVSS3: 9.8
nvd
почти 3 года назад

The configuration backend allows an unauthenticated user to write arbitrary data with root privileges to the storage, which could lead to unauthenticated remote code execution and full system compromise.

github логотип

GHSA-4p8v-g44f-p8hp

CVSS3: 9.8
github
почти 3 года назад

The configuration backend allows an unauthenticated user to write arbitrary data with root privileges to the storage, which could lead to unauthenticated remote code execution and full system compromise.

EPSS

Процентиль: 82%
0.01776
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2