Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-06879

Опубликовано: 13 июн. 2025
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость программного средства для настройки и параметризации контроллеров WAGO Device Manager связана с ошибками конфигурации политики CORS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к файловой системе путем отправки специально сформированных запросов

Вендор

WAGO Kontakttechnik GmbH & Co. KG

Наименование ПО

WAGO Compact Controller CC100
Edge Controller 0752-8303/8000-0002
PFC100 G1 0750-810x
PFC100 G2 0750-811x
PFC200 G1 750-820x
PFC200 G2 750-821
TP600 0762-420x/8000-000x
TP600 0762-430x/8000-000x
TP600 0762-520x/8000-000x
TP600 0762-530x/8000-000x
TP600 0762-620x/8000-000x
TP600 0762-630x/8000-000x

Версия ПО

до 04.07.01 (FW29) (WAGO Compact Controller CC100)
до 04.07.01 (FW29) (Edge Controller 0752-8303/8000-0002)
до 04.07.01 (70) (Edge Controller 0752-8303/8000-0002)
до 04.07.01 (70) (WAGO Compact Controller CC100)
до 3.10.11 (FW22 Patch 2) (PFC100 G1 0750-810x)
до 03.10.11 (70) (PFC100 G1 0750-810x)
до 04.07.01 (FW29) (PFC100 G2 0750-811x)
до 04.07.01 (70) (PFC100 G2 0750-811x)
до 3.10.11 (FW22 Patch 2) (PFC200 G1 750-820x)
до 03.10.11 (70) (PFC200 G1 750-820x)
до 04.07.01 (FW29) (PFC200 G2 750-821)
до 04.07.01 (70) (PFC200 G2 750-821)
до 04.07.01 (FW29 (TP600 0762-420x/8000-000x)
до 04.07.01 (70) (TP600 0762-420x/8000-000x)
до 04.07.01 (FW29) (TP600 0762-430x/8000-000x)
до 04.07.01 (70) (TP600 0762-430x/8000-000x)
до 04.07.01 (FW29) (TP600 0762-520x/8000-000x)
до 04.07.01 (70) (TP600 0762-520x/8000-000x)
до 04.07.01 (FW29) (TP600 0762-530x/8000-000x)
до 04.07.01 (70) (TP600 0762-530x/8000-000x)
до 04.07.01 (FW29) (TP600 0762-620x/8000-000x)
до 04.07.01 (70) (TP600 0762-620x/8000-000x)
до 04.07.01 (FW29) (TP600 0762-630x/8000-000x)
до 04.07.01 (70) (TP600 0762-630x/8000-000x)

Тип ПО

Средство АСУ ТП
Микропрограммный код

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование межсетевого экрана уровня приложений (WAF) для фильтрации HTTP-трафика;
- сегментирование сети для ограничения доступа к уязвимому программному обеспечению из других подсетей;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа к платформе из внешних сетей (Интернет).
Использование рекомендаций:
https://certvde.com/en/advisories/VDE-2025-018/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 10%
0.00035
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-25264

CVSS3: 6.5
nvd
8 месяцев назад

An unauthenticated remote attacker can trick an admin to visit a website containing malicious java script code. The current overly permissive CORS policy allows the attacker to obtain any files from the file system.

github логотип

GHSA-rqg6-587c-h9v3

CVSS3: 8.8
github
8 месяцев назад

An unauthenticated remote attacker can take advantage of the current overly permissive CORS policy to gain access and read the responses, potentially exposing sensitive data or enabling further attacks.

EPSS

Процентиль: 10%
0.00035
Низкий

8.8 High

CVSS3

9 Critical

CVSS2