Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06251

Опубликовано: 11 июл. 2023
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость программного средства управления промышленными процессами EcoStruxure OPC UA Server Expert связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальной информации

Вендор

Schneider Electric

Наименование ПО

EcoStruxur OPC UA Server Expert

Версия ПО

до 2.01 SP2 (EcoStruxur OPC UA Server Expert)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- блокирование неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- сегментирование сети с целью ограничения доступа к промышленному оборудованию из других подсетей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-192-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-192-02.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 12%
0.00039
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-37200

CVSS3: 5.5
nvd
больше 2 лет назад

A CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could cause loss of confidentiality when replacing a project file on the local filesystem and after manual restart of the server.

github логотип

GHSA-mhjw-pxqp-cm9c

CVSS3: 5.5
github
больше 2 лет назад

A CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could cause loss of confidentiality when replacing a project file on the local filesystem and after manual restart of the server.

EPSS

Процентиль: 12%
0.00039
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2