Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07895

Опубликовано: 21 апр. 2024
Источник: fstec
CVSS3: 9.6
CVSS2: 8.3
EPSS Средний

Описание

Уязвимость функции uploadFile() сценария bigUpload.php микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series связана с неправильной очисткой путей к файлам и обходом каталогов в результате недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к устройству, записывать произвольные файлы и выполнить произвольный код

Вендор

ABB

Наименование ПО

ASPECT-ENT-12
ASPECT-ENT-2
ASPECT-ENT-256
ASPECT-ENT-96
NEXUS-2128
NEXUS-2128-a
NEXUS-2128-f
NEXUS-2128-g
NEXUS-264
NEXUS-264-a
NEXUS-264-f
NEXUS-264-g
NEXUS-3-2128
NEXUS-3-264
MATRIX-11
MATRIX-216
MATRIX-232
MATRIX-264
MATRIX-296

Версия ПО

до 3.08.01 включительно (ASPECT-ENT-12)
до 3.08.01 включительно (ASPECT-ENT-2)
до 3.08.01 включительно (ASPECT-ENT-256)
до 3.08.01 включительно (ASPECT-ENT-96)
до 3.08.01 включительно (NEXUS-2128)
до 3.08.01 включительно (NEXUS-2128-a)
до 3.08.01 включительно (NEXUS-2128-f)
до 3.08.01 включительно (NEXUS-2128-g)
до 3.08.01 включительно (NEXUS-264)
до 3.08.01 включительно (NEXUS-264-a)
до 3.08.01 включительно (NEXUS-264-f)
до 3.08.01 включительно (NEXUS-264-g)
до 3.08.01 включительно (NEXUS-3-2128)
до 3.08.01 включительно (NEXUS-3-264)
до 3.08.01 включительно (MATRIX-11)
до 3.08.01 включительно (MATRIX-216)
до 3.08.01 включительно (MATRIX-232)
до 3.08.01 включительно (MATRIX-264)
до 3.08.01 включительно (MATRIX-296)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://search.abb.com/library/Download.aspx?DocumentID=9AKK108469A7497&LanguageCode=en&DocumentPartId=&Action=Launch&_ga=2.39956449.23035250.1719878527-141379670.1701144964

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.34971
Средний

9.6 Critical

CVSS3

8.3 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-6298

CVSS3: 10
nvd
больше 1 года назад

Unauthorized file access in WEB Server in ABB ASPECT - Enterprise v3.08.01; NEXUS Series v3.08.01 ; MATRIX Series v3.08.01 allows Attacker to execute arbitrary code remotely

github логотип

GHSA-w76v-3936-3wp3

CVSS3: 9.8
github
больше 1 года назад

Improper Input Validation vulnerability in ABB ASPECT-Enterprise on Linux, ABB NEXUS Series on Linux, ABB MATRIX Series on Linux allows Remote Code Inclusion.This issue affects ASPECT-Enterprise: through 3.08.01; NEXUS Series: through 3.08.01; MATRIX Series: through 3.08.01.

EPSS

Процентиль: 97%
0.34971
Средний

9.6 Critical

CVSS3

8.3 High

CVSS2