Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03015

Опубликовано: 30 июл. 2021
Источник: fstec
CVSS3: 5.3
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость исполняемого файла FrameworkX.exe программного средства программирования ПЛК (программируемых логических контроллеров) Proficy Machine Edition связана с недостаточной проверкой входных данных при обработке динамической библиотеки fxVPStatcTcp.dll. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Emerson Electric Corp.

Наименование ПО

Proficy Machine Edition

Версия ПО

8.0 (Proficy Machine Edition)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- включение проверки подлинности на ПЛК;
- запрет на запуск Proficy Machine Edition с повышенными привилегиями;
- запрет открытия и использования файлов, полученных из недоверенных источников;
- использование средств межсетевого экранирования;
- ограничение подключения ПЛК к сетям общего пользования (Интернет);
- сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 51%
0.00285
Низкий

5.3 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-29298

CVSS3: 5.3
nvd
больше 4 лет назад

Improper Input Validation in Emerson GE Automation Proficy Machine Edition v8.0 allows an attacker to cause a denial of service and application crash via crafted traffic from a Man-in-the-Middle (MITM) attack to the component "FrameworX.exe"in the module "fxVPStatcTcp.dll".

github логотип

GHSA-8j4f-3jx5-662c

github
больше 3 лет назад

Improper Input Validation in Emerson GE Automation Proficy Machine Edition v8.0 allows an attacker to cause a denial of service and application crash via crafted traffic from a Man-in-the-Middle (MITM) attack to the component "FrameworX.exe"in the module "fxVPStatcTcp.dll".

EPSS

Процентиль: 51%
0.00285
Низкий

5.3 Medium

CVSS3

5.4 Medium

CVSS2