Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08764

Опубликовано: 16 окт. 2024
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения устройств SICK CLV6xx, Lector6xx и RFx6xx связана с использованием жёстко закодированных учётных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации и повысить свои привилегии до роли "Authorized Client"

Вендор

SICK AG

Наименование ПО

CLV6xx
Lector6xx
RFx6xx

Версия ПО

- (CLV6xx)
- (Lector6xx)
- (RFx6xx)

Тип ПО

ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://www.sick.com/.well-known/csaf/white/2024/sca-2024-0003.pdf
Компенсирующие меры:
- изменение паролей по умолчанию, если это возможно;
- сегментирование сети для ограничения доступа к оборудованию;
- ограничение доступа из внешних сетей (Интернет) к оборудованию;
- использование средств межсетевого экранирования для ограничения удалённого доступа к оборудованию;
- использование виртуальных частных сетей для организации удаленного доступа (VPN)

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 32%
0.00122
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-10025

CVSS3: 9.1
nvd
больше 1 года назад

A vulnerability in the .sdd file allows an attacker to read default passwords stored in plain text within the code. By exploiting these plaintext credentials, an attacker can log into affected SICK products as an “Authorized Client” if the customer has not changed the default password.

github логотип

GHSA-m3p3-rf2c-fxw8

CVSS3: 9.1
github
больше 1 года назад

A vulnerability in the .sdd file allows an attacker to read default passwords stored in plain text within the code. By exploiting these plaintext credentials, an attacker can log into affected SICK products as an “Authorized Client” if the customer has not changed the default password.

EPSS

Процентиль: 32%
0.00122
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2