Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-28221

Опубликовано: 26 янв. 2021
Источник: nvd
CVSS3: 9.8
CVSS2: 9.3
EPSS Низкий

Описание

A CWE-20: Improper Input Validation vulnerability exists in EcoStruxure™ Operator Terminal Expert and Pro-face BLUE (version details in the notification) that could cause arbitrary code execution when the Ethernet Download feature is enable on the HMI.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:schneider-electric:ecostruxure_operator_terminal_expert:3.1:*:*:*:*:*:*:*
cpe:2.3:a:schneider-electric:ecostruxure_operator_terminal_expert:3.1:sp1a:*:*:*:*:*:*

Одно из

cpe:2.3:h:schneider-electric:hmi_sto_501:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:hmi_sto_511:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:hmi_sto_512:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:hmi_sto_531:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:hmi_sto_532:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:hmig3u:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:hmig3x:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:hmig5u:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:hmig5u2:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:hmist6200:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:hmist6400:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:hmist6500:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:hmist6600:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:hmist6700:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

Одно из

cpe:2.3:a:schneider-electric:pro-face_blue:3.1:*:*:*:*:*:*:*
cpe:2.3:a:schneider-electric:pro-face_blue:3.1:sp1a:*:*:*:*:*:*

Одно из

cpe:2.3:h:schneider-electric:gp-4104g:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:gp-4104w:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:gp-4105g:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:gp-4105w:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:gp-4106g:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:gp-4106w:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:gp-4107g:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:gp-4107w:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:sp-5400wa:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:sp-5500tp:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:sp-5500wa:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:sp-5600ta:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:sp-5600tp:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:sp-5600wa:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:sp-5660tp:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:sp-5700tp:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:sp-5700wc:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:sp-5800wc:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:sp-5b00:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:sp-5b10:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:sp-5b41:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:st-6200wa:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:st-6400wa:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:st-6500wa:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:st-6600wa:-:*:*:*:*:*:*:*
cpe:2.3:h:schneider-electric:st-6700wa:-:*:*:*:*:*:*:*

EPSS

Процентиль: 76%
0.00924
Низкий

9.8 Critical

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-20

Связанные уязвимости

github логотип

GHSA-rv39-23hm-r9j8

github
больше 3 лет назад

A CWE-20: Improper Input Validation vulnerability exists in EcoStruxure™ Operator Terminal Expert and Pro-face BLUE (version details in the notification) that could cause arbitrary code execution when the Ethernet Download feature is enable on the HMI.

fstec логотип

BDU:2021-04273

CVSS3: 8.8
fstec
около 5 лет назад

Уязвимость функции Ethernet Download программного обеспечения для конфигурации HMI терминалов Schneider Electric EcoStruxure Operator Terminal Expert и программного обеспечения SCADA Pro-face BLUE, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 76%
0.00924
Низкий

9.8 Critical

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-20