Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02703

Опубликовано: 11 янв. 2022
Источник: fstec
CVSS3: 6.8
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340, Modicon Quantum, Modicon Premium связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Вендор

Schneider Electric

Наименование ПО

BMXNOR0200H
BMXNOC0401
TSXETY4103
TSXETY5103
Modicon M340 CPU BMXP34
Modicon Quantum with integrated Ethernet COPRO 140CPU65
Modicon Premium CPUs with integrated Ethernet COPRO TSXP57*
BMXNOE01
Modicon Quantum and Premium 140NOE77111
Modicon Quantum and Premium 140NOC78*00

Версия ПО

- (BMXNOR0200H)
- (BMXNOC0401)
- (TSXETY4103)
- (TSXETY5103)
- (Modicon M340 CPU BMXP34)
- (Modicon Quantum with integrated Ethernet COPRO 140CPU65)
- (Modicon Premium CPUs with integrated Ethernet COPRO TSXP57*)
- (BMXNOE01)
- (Modicon Quantum and Premium 140NOE77111)
- (Modicon Quantum and Premium 140NOC78*00)

Тип ПО

ПО сетевого программно-аппаратного средства
Средство АСУ ТП
ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование физических средств контроля для ограничения получения доступа к оборудованию;
- сканирование всех методов мобильного обмена данных с сетью;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа к устройству из внешних сетей (Интернет);
- обработка мобильных устройств перед подключением к сетям безопасности (управления)
Использование рекомендаций:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-01

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 39%
0.00178
Низкий

6.8 Medium

CVSS3

7.1 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-7534

CVSS3: 8.8
nvd
около 4 лет назад

A CWE-352: Cross-Site Request Forgery (CSRF) vulnerability exists on the web server used, that could cause a leak of sensitive data or unauthorized actions on the web server during the time the user is logged in. Affected Products: Modicon M340 CPUs: BMXP34 (All Versions), Modicon Quantum CPUs with integrated Ethernet (Copro): 140CPU65 (All Versions), Modicon Premium CPUs with integrated Ethernet (Copro): TSXP57 (All Versions), Modicon M340 ethernet modules: (BMXNOC0401, BMXNOE01, BMXNOR0200H) (All Versions), Modicon Quantum and Premium factory cast communication modules: (140NOE77111, 140NOC78*00, TSXETY5103, TSXETY4103) (All Versions)

github логотип

GHSA-5g6x-5wq6-p6g5

github
почти 4 года назад

A CWE-352: Cross-Site Request Forgery (CSRF) vulnerability exists on the web server used, that could cause a leak of sensitive data or unauthorized actions on the web server during the time the user is logged in. Affected Products: Modicon M340 CPUs: BMXP34 (All Versions), Modicon Quantum CPUs with integrated Ethernet (Copro): 140CPU65 (All Versions), Modicon Premium CPUs with integrated Ethernet (Copro): TSXP57 (All Versions), Modicon M340 ethernet modules: (BMXNOC0401, BMXNOE01, BMXNOR0200H) (All Versions), Modicon Quantum and Premium factory cast communication modules: (140NOE77111, 140NOC78*00, TSXETY5103, TSXETY4103) (All Versions)

EPSS

Процентиль: 39%
0.00178
Низкий

6.8 Medium

CVSS3

7.1 High

CVSS2