Описание
Уязвимость микропрограммного обеспечения радиоприемников Ethernet серии Trio Q, Trio E, Trio J связана с загрузкой кода без проверки его целостности. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, внедрить дополнительный код в прошивку устройства
Вендор
Schneider Electric
Наименование ПО
Trio J-Series Ethernet Data Radio
Trio E-Series Ethernet Data Radio
Trio Q-Series Ethernet Data Radio
Версия ПО
- (Trio J-Series Ethernet Data Radio)
- (Trio E-Series Ethernet Data Radio)
- (Trio Q-Series Ethernet Data Radio)
Тип ПО
ПО программно-аппаратного средства АСУ ТП
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- проверка хеш-сумма файлов перед установкой программного обеспечения.
Использование рекомендаций производителя:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-346-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-346-01.pdf
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 27%
0.00097
Низкий
6.5 Medium
CVSS3
7.7 High
CVSS2
Связанные уязвимости
CVSS3: 6.5
nvd
около 2 лет назад
A CWE-494: Download of Code Without Integrity Check vulnerability exists that could allow a privileged user to install an untrusted firmware.
CVSS3: 6.5
github
около 2 лет назад
A CWE-494: Download of Code Without Integrity Check vulnerability exists that could allow a privileged user to install an untrusted firmware.
EPSS
Процентиль: 27%
0.00097
Низкий
6.5 Medium
CVSS3
7.7 High
CVSS2