BDU:2024-09904

Опубликовано: 09 июл. 2024

Источник: fstec

CVSS3: 7.8

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость программ создания производственной отчетности и аналитики Dream Report и AVEVA Reports for Operations связана с ошибками в обработке относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путем загрузки специально созданной вредоносной DLL-библиотеки

Вендор

Ocean Data Systems

AVEVA Software, LLC

Наименование ПО

Dream Report

AVEVA Reports for Operations

Версия ПО

до 23.0.17795.1010 включительно (Dream Report)

до 23.0.17795.1010 включительно (AVEVA Reports for Operations)

Тип ПО

Средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 4.0 составляет 8,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Dream Report:

Обновление до версии 2023 R2 (23.3.18952.0523) и выше:

https://dreamreport.net/downloads/

Для AVEVA Reports for Operations:

Обновление до версии 2023 R2 и выше:

https://www.aveva.com/content/dam/aveva/documents/support/cyber-security-updates/SecurityBulletin_AVEVA-2024-006.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 81%

0.0155

Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2024-6618

nvd

больше 1 года назад

In Ocean Data Systems Dream Report, a path traversal vulnerability could allow an attacker to perform remote code execution through the injection of a malicious dynamic-link library (DLL).

GHSA-gm29-ch22-6w64

github