Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06595

Опубликовано: 15 авг. 2024
Источник: fstec
CVSS3: 8.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость веб-сервера архивации данных AVEVA (Wonderware) Historian связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код при условии открытия пользователем специально сформированного URL-адреса

Вендор

AVEVA Software, LLC

Наименование ПО

Historian Server

Версия ПО

2023 R2 (Historian Server)
от 2023 до 2023 P03 включительно (Historian Server)
от 2020 до 2020 R2 SP1 P01 включительно (Historian Server)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к промышленному сегменту;
- сегментирование сети для ограничения возможности доступа к промышленному сегменту из других подсетей;
- ограничение доступа к промышленному сегменту из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
Обновление до актуальной версии
https://extlogon.aveva.com/adfs/ls/?wa=wsignin1.0&wtrealm=urn%3asharepoint%3asoftwaresupportsp.avv&wctx=https%3a%2f%2fsoftwaresupportsp.aveva.com%2f_layouts%2f15%2fAuthenticate.aspx%3fSource%3d%252F#/producthub/details?id=f9477c62-1966-4020-8909-fa20f4ef2b2b
https://www.aveva.com/en/support-and-success/support-contact/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 50%
0.00274
Низкий

8.1 High

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-6456

nvd
больше 1 года назад

AVEVA Historian Server has a vulnerability, if exploited, could allow a malicious SQL command to execute under the privileges of an interactive Historian REST Interface user who had been socially engineered by a miscreant into opening a specially crafted URL.

github логотип

GHSA-h755-c54r-2xq5

github
больше 1 года назад

AVEVA Historian Server has a vulnerability, if exploited, could allow a malicious SQL command to execute under the privileges of an interactive Historian REST Interface user who had been socially engineered by a miscreant into opening a specially crafted URL.

EPSS

Процентиль: 50%
0.00274
Низкий

8.1 High

CVSS3

9.4 Critical

CVSS2