Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01632

Опубликовано: 13 фев. 2023
Источник: fstec
CVSS3: 6.1
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость серверной части конфигурации веб-интерфейса управления микропрограммного обеспечения программируемых логических контроллеров WAGO PFC100/PFC200, CC100, Edge Controller и микропрограммного обеспечения сенсорных панелей WAGO Touch Panel 600 существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки

Вендор

WAGO Kontakttechnik GmbH & Co. KG

Наименование ПО

WAGO Compact Controller CC100
WAGO Edge Controller
WAGO PFC100/PFC200
WAGO Touch Panel 600

Версия ПО

от FW16 до FW22 включительно (WAGO Compact Controller CC100)
FW23 (WAGO Compact Controller CC100)
FW23 (WAGO Edge Controller)
от FW18 до FW22 включительно (WAGO Edge Controller)
FW23 (WAGO PFC100/PFC200)
от FW16 до FW22 включительно (WAGO PFC100/PFC200)
FW23 (WAGO Touch Panel 600)
от FW16 до FW22 включительно (WAGO Touch Panel 600)

Тип ПО

Средство АСУ ТП
ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://cert.vde.com/en/advisories/VDE-2022-060/
Компенсирующие меры:
- отключение веб-интерфейса управления;
- ограничение доступа к устройству из внешних сетей (Интернет);
- сегментирование сети с целью ограничения доступа к устройству из других подсетей;
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 33%
0.00133
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-45137

CVSS3: 6.1
nvd
почти 3 года назад

The configuration backend of the web-based management is vulnerable to reflected XSS (Cross-Site Scripting) attacks that targets the users browser. This leads to a limited impact of confidentiality and integrity but no impact of availability.

github логотип

GHSA-rqh8-4mfx-r6p6

CVSS3: 6.1
github
почти 3 года назад

The configuration backend of the web-based management is vulnerable to reflected XSS (Cross-Site Scripting) attacks that targets the users browser. This leads to a limited impact of confidentiality and integrity but no impact of availability.

EPSS

Процентиль: 33%
0.00133
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2