Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07892

Опубликовано: 14 нояб. 2023
Источник: fstec
CVSS3: 9.3
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость программных средств создания панелей управления для систем управления электроэнергией EcoStruxure PowerSCADA Operation (PSO) - Advanced Reporting and Dashboards Module, EcoStruxure PowerOperation (EPO) - Advanced Reporting and Dashboards Module и программного обеспечения энергомониторинга EcoStruxure Power Monitoring Expert связана с переадресацией URL на ненадежный сайт. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перенаправить пользователя на произвольный URL-адрес

Вендор

Schneider Electric

Наименование ПО

EcoStruxure Power Monitoring Expert
EcoStruxure PowerOperation (EPO) - Advanced Reporting and Dashboards Module
EcoStruxure PowerSCADA Operation (PSO) - Advanced Reporting and Dashboards Module

Версия ПО

до 2020 CU3 (EcoStruxure Power Monitoring Expert)
до 2021 CU2 (EcoStruxure Power Monitoring Expert)
до 2020 CU3 (EcoStruxure PowerOperation (EPO) - Advanced Reporting and Dashboards Module)
до 2021 CU2 (EcoStruxure PowerOperation (EPO) - Advanced Reporting and Dashboards Module)
до 2020 CU3 (EcoStruxure PowerSCADA Operation (PSO) - Advanced Reporting and Dashboards Module)

Тип ПО

Программное средство АСУ ТП
Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,3)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- блокирование неиспользуемых учетных записей пользователей;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- сегментирование сети для ограничения возможности доступа к промышленному сегменту из других подсетей;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-318-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-318-02.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 39%
0.00174
Низкий

9.3 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-5986

CVSS3: 8.2
nvd
около 2 лет назад

A CWE-601 URL Redirection to Untrusted Site vulnerability exists that could cause an openredirect vulnerability leading to a cross site scripting attack. By providing a URL-encoded input attackers can cause the software’s web application to redirect to the chosen domain after a successful login is performed.

github логотип

GHSA-grp5-2x24-q4vj

CVSS3: 8.2
github
около 2 лет назад

A CWE-601 URL Redirection to Untrusted Site vulnerability exists that could cause an openredirect vulnerability leading to a cross site scripting attack. By providing a URL-encoded input attackers can cause the software’s web application to redirect to the chosen domain after a successful login is performed.

EPSS

Процентиль: 39%
0.00174
Низкий

9.3 Critical

CVSS3

9.4 Critical

CVSS2