CVE-2022-1118

Опубликовано: 17 мая 2022

Источник: nvd

CVSS3: 8.6

CVSS3: 7.8

CVSS2: 6.8

EPSS Средний

Описание

Connected Components Workbench (v13.00.00 and prior), ISaGRAF Workbench (v6.0 though v6.6.9), and Safety Instrumented System Workstation (v1.2 and prior (for Trusted Controllers)) do not limit the objects that can be deserialized. This allows attackers to craft a malicious serialized object that, if opened by a local user in Connected Components Workbench, may result in arbitrary code execution. This vulnerability requires user interaction to be successfully exploited

Ссылки

https://www.cisa.gov/uscert/ics/advisories/icsa-22-095-01
Third Party Advisory
US Government Resource
https://www.cisa.gov/uscert/ics/advisories/icsa-22-095-01
Third Party Advisory
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:rockwellautomation:connected_component_workbench:*:*:*:*:*:*:*:*

Версия до 13.00.00 (включая)

cpe:2.3:a:rockwellautomation:isagraf_workbench:*:*:*:*:*:*:*:*

Версия от 6.0 (включая) до 6.6.9 (включая)

cpe:2.3:a:rockwellautomation:safety_instrumented_systems_workstation:*:*:*:*:*:*:*:*

Версия до 1.2 (включая)

EPSS

Процентиль: 98%

0.51482

Средний

8.6 High

CVSS3

7.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-502

Связанные уязвимости

GHSA-cq53-3mvc-ghx7

CVSS3: 7.8

github

больше 3 лет назад

BDU:2022-02430

CVSS3: 8.6

fstec

больше 4 лет назад

Уязвимость программного обеспечения проектирования и настройки контроллеров Connected Components Workbench (CCW), рабочей станции автоматизированных систем безопасности Safety Instrumented Systems Workstation (SISW) и среды разработки приложений для программируемых логических контроллеров ISaGRAF Workbench компании Rockwell Automation, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 98%

0.51482

Средний

8.6 High

CVSS3

7.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-502