Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-14902

Опубликовано: 11 июн. 2021
Источник: fstec
CVSS3: 5.4
CVSS2: 5.5
EPSS Средний

Описание

Уязвимость страницы административного интерфейса system_settings.shtm системы для сбора данных и контроля процессов автоматизации ScadaBR (сейчас Scada-LTS) связана с непринятием мер по защите структуры веб-страницы agentpushPreset. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки (XSS)

Вендор

Сообщество свободного программного обеспечения
SCADA LTD

Наименование ПО

ScadaBR
Scada-lts

Версия ПО

до 0.9.1 включительно (ScadaBR)
до 1.12.4 включительно (ScadaBR)
до 2.8.1 (Scada-lts)

Тип ПО

Прикладное ПО информационных систем
Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,4)

Возможные меры по устранению уязвимости

Для ScadaBR:
Компенсирующие меры:
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- использование SIEM-систем для включения в правила корреляции индикаторов компрометации.
Использование рекомендаций:
Для Scada-Lts:
https://github.com/SCADA-LTS/Scada-LTS/pull/3211
https://github.com/SCADA-LTS/Scada-LTS

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.17378
Средний

5.4 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-26829

CVSS3: 5.4
nvd
больше 4 лет назад

OpenPLC ScadaBR through 0.9.1 on Linux and through 1.12.4 on Windows allows stored XSS via system_settings.shtm.

github логотип

GHSA-6pvv-xrf9-29m6

CVSS3: 5.4
github
больше 3 лет назад

OpenPLC ScadaBR through 0.9.1 on Linux and through 1.12.4 on Windows allows stored XSS via system_settings.shtm.

EPSS

Процентиль: 95%
0.17378
Средний

5.4 Medium

CVSS3

5.5 Medium

CVSS2