Описание
A missing secure communication definition and an incomplete TLS validation in the upgrade service in B&R Automation Studio versions 4.0.x, 4.1.x, 4.2.x, < 4.3.11SP, < 4.4.9SP, < 4.5.5SP, < 4.6.4 and < 4.7.2 enable unauthenticated users to perform MITM attacks via the B&R upgrade server.
Ссылки
- Broken LinkVendor Advisory
- Broken LinkVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 4.0 (включая) до 4.0.29.87 (включая)Версия от 4.1 (включая) до 4.1.17.113 (включая)Версия от 4.2 (включая) до 4.2.14.119 (включая)Версия от 4.3 (включая) до 4.3.11 (исключая)Версия от 4.4 (включая) до 4.4.9 (исключая)Версия от 4.5 (включая) до 4.5.5 (исключая)Версия от 4.6 (включая) до 4.6.4 (исключая)Версия от 4.7 (включая) до 4.7.2 (исключая)
Одно из
cpe:2.3:a:br-automation:automation_studio:*:*:*:*:*:*:*:*
cpe:2.3:a:br-automation:automation_studio:*:*:*:*:*:*:*:*
cpe:2.3:a:br-automation:automation_studio:*:*:*:*:*:*:*:*
cpe:2.3:a:br-automation:automation_studio:*:*:*:*:*:*:*:*
cpe:2.3:a:br-automation:automation_studio:*:*:*:*:*:*:*:*
cpe:2.3:a:br-automation:automation_studio:*:*:*:*:*:*:*:*
cpe:2.3:a:br-automation:automation_studio:*:*:*:*:*:*:*:*
cpe:2.3:a:br-automation:automation_studio:*:*:*:*:*:*:*:*
EPSS
Процентиль: 28%
0.00101
Низкий
6.5 Medium
CVSS3
5.9 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-326
CWE-295
Связанные уязвимости
CVSS3: 5.9
github
больше 3 лет назад
A missing secure communication definition and an incomplete TLS validation in the upgrade service in B&R Automation Studio versions 4.0.x, 4.1.x, 4.2.x, < 4.3.11SP, < 4.4.9SP, < 4.5.5SP, < 4.6.4 and < 4.7.2 enable unauthenticated users to perform MITM attacks via the B&R upgrade server.
EPSS
Процентиль: 28%
0.00101
Низкий
6.5 Medium
CVSS3
5.9 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-326
CWE-295