CVE-2018-7809

Опубликовано: 30 нояб. 2018

Источник: nvd

CVSS3: 9.8

CVSS2: 6.4

EPSS Низкий

Описание

An Unverified Password Change vulnerability exists in the embedded web servers in all Modicon M340, Premium, Quantum PLCs and BMXNOR0200 which could allow an unauthenticated remote user to access the password delete function of the web server.

Ссылки

https://www.schneider-electric.com/en/download/document/SEVD-2018-327-01/
Vendor Advisory
https://www.tenable.com/security/research/tra-2018-38
Exploit
Third Party Advisory
https://www.schneider-electric.com/en/download/document/SEVD-2018-327-01/
Vendor Advisory
https://www.tenable.com/security/research/tra-2018-38
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:schneider-electric:modicom_m340_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:schneider-electric:modicom_m340:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:schneider-electric:modicom_premium_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:schneider-electric:modicom_premium:*:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:schneider-electric:modicom_quantum_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:schneider-electric:modicom_quantum:*:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:schneider-electric:modicom_bmxnor0200h_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:schneider-electric:modicom_bmxnor0200h:-:*:*:*:*:*:*:*

EPSS

Процентиль: 83%

0.01984

Низкий

9.8 Critical

CVSS3

6.4 Medium

CVSS2

Дефекты

CWE-640

Связанные уязвимости

GHSA-r8f4-qrcc-h436

CVSS3: 9.8

github

больше 3 лет назад

BDU:2019-00121

CVSS3: 6.5

fstec

около 7 лет назад

Уязвимость микропрограммного обеспечения программируемых логических контролеров Schneider Electric Modicon, связанная с отсутствием необходмой проверки при удалении пароля, позволяющая нарушителю получить доступ к функции удаления пароля WEB-сервера

EPSS

Процентиль: 83%

0.01984

Низкий

9.8 Critical

CVSS3

6.4 Medium

CVSS2

Дефекты

CWE-640