Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05847

Опубликовано: 31 авг. 2023
Источник: fstec
CVSS3: 6.3
CVSS2: 5.9
EPSS Низкий

Описание

Уязвимость программного обеспечения OPC-серверов Kepware KEPServerEX и ThingWorkx Kepware Server связана с неконтролируемым элементом пути поиска. Эксплуатация уязвимости может позволить нарушителю переупаковать установщик с произвольной библиотекой DLL

Вендор

PTC

Наименование ПО

Kepware KEPServerEX
ThingWorkx Kepware Server

Версия ПО

от 6.0.2107.0 до 6.14 (Kepware KEPServerEX)
от 8.0 до 6.14 (ThingWorkx Kepware Server)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- ограничение доступа к оборудованию из общедоступных сетей (Интернет);
- использование средств межсетевого экранирования;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 8%
0.0003
Низкий

6.3 Medium

CVSS3

5.9 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-29444

CVSS3: 6.3
nvd
около 2 лет назад

An uncontrolled search path element vulnerability (DLL hijacking) has been discovered that could allow a locally authenticated adversary to escalate privileges to SYSTEM. Alternatively, they could host a trojanized version of the software and trick victims into downloading and installing their malicious version to gain initial access and code execution.

github логотип

GHSA-w876-744c-hf5g

CVSS3: 6.3
github
около 2 лет назад

An uncontrolled search path element vulnerability (DLL hijacking) has been discovered that could allow a locally authenticated adversary to escalate privileges to SYSTEM. Alternatively, they could host a trojanized version of the software and trick victims into downloading and installing their malicious version to gain initial access and code execution.

EPSS

Процентиль: 8%
0.0003
Низкий

6.3 Medium

CVSS3

5.9 Medium

CVSS2