BDU:2023-02117

Опубликовано: 11 апр. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость функции getMacAddressByIP программного обеспечения для онлайн-мониторинга APC Easy UPS Online Monitoring Software и Easy UPS Online Monitoring Software существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Schneider Electric

Наименование ПО

APC Easy UPS Online Monitoring Software

Easy UPS Online

Версия ПО

до 2.5-GA-01-23036 (APC Easy UPS Online Monitoring Software)

до 2.5-GS-01-23036 (Easy UPS Online)

Тип ПО

Сетевое средство

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

Microsoft Corp Windows 10 -

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- ограничение доступа к устройству из внешних сетей (Интернет);

- использование средств межсетевого экранирования для ограничения доступа к устройству;

- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-04.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-04.pdf

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-29412
CVE

EPSS

Процентиль: 91%

0.06102

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-29412

CVSS3: 9.8

nvd

почти 3 года назад

CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability exists that could cause remote code execution when manipulating internal methods through Java RMI interface.

GHSA-7p8q-cvq9-54g6

CVSS3: 9.8

github

почти 3 года назад

A CWE-78: Improper Handling of Case Sensitivity vulnerability exists that could cause remote code execution when manipulating internal methods through Java RMI interface.

EPSS

Процентиль: 91%

0.06102

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2