Описание
Уязвимость микропрограммного обеспечения панели управления AutomationDirect C-MORE EA9 HMI связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор
AutomationDirect
Наименование ПО
C-more EA9-RHMI
C-more EA9-PGMSW
C-more EA9-T15CL-R
C-more EA9-T15CL
C-more EA9-T12CL
C-more EA9-T10WCL
C-more EA9-T10CL
C-more EA9-T8CL
C-more EA9-T7CL-R
C-more EA9-T7CL
C-more EA9-T6CL
Версия ПО
до 6.77 включительно (C-more EA9-RHMI)
до 6.77 включительно (C-more EA9-PGMSW)
до 6.77 включительно (C-more EA9-T15CL-R)
до 6.77 включительно (C-more EA9-T15CL)
до 6.77 включительно (C-more EA9-T12CL)
до 6.77 включительно (C-more EA9-T10WCL)
до 6.77 включительно (C-more EA9-T10CL)
до 6.77 включительно (C-more EA9-T8CL)
до 6.77 включительно (C-more EA9-T7CL-R)
до 6.77 включительно (C-more EA9-T7CL)
до 6.77 включительно (C-more EA9-T6CL)
Тип ПО
ПО программно-аппаратного средства АСУ ТП
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- сегментирование сети с целью ограничения доступа к промышленному оборудованию из других подстеей;
- ограничение доступа из общедоступных сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://www.automationdirect.com/support/software-downloads
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 37%
0.00163
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
nvd
почти 2 года назад
There is a function in AutomationDirect C-MORE EA9 HMI that allows an attacker to send a relative path in the URL without proper sanitizing of the content.
CVSS3: 7.5
github
почти 2 года назад
There is a function in AutomationDirect C-MORE EA9 HMI that allows an attacker to send a relative path in the URL without proper sanitizing of the content.
EPSS
Процентиль: 37%
0.00163
Низкий
7.5 High
CVSS3
7.8 High
CVSS2