Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02149

Опубликовано: 12 мар. 2024
Источник: fstec
CVSS3: 7.8
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость программного обеспечения для проектирования сетей электроснабжения, расчета электрических параметров сети и подбора оборудования EcoStruxure Power Design – Ecodial (ранее Ecodial) связана с недостатками механизма десериализации при загрузке файлов проекта. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Вендор

Schneider Electric

Наименование ПО

EcoStruxure Power Design - Ecodial

Версия ПО

FR (French version) (EcoStruxure Power Design - Ecodial)
INT (International version) (EcoStruxure Power Design - Ecodial)
NL (Netherlands version) (EcoStruxure Power Design - Ecodial)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS);
- ограничение загрузки файлов из недостоверных источников;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-072-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-072-02.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 12%
0.0004
Низкий

7.8 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-2229

CVSS3: 7.8
nvd
почти 2 года назад

CWE-502: Deserialization of Untrusted Data vulnerability exists that could cause remote code execution when a malicious project file is loaded into the application by a valid user.

github логотип

GHSA-8342-5mrm-xwwg

CVSS3: 7.8
github
почти 2 года назад

CWE-502: Deserialization of Untrusted Data vulnerability exists that could cause remote code execution when a malicious project file is loaded into the application by a valid user.

EPSS

Процентиль: 12%
0.0004
Низкий

7.8 High

CVSS3

7.2 High

CVSS2