CVE-2022-41671

Опубликовано: 04 нояб. 2022

Источник: nvd

CVSS3: 7

CVSS3: 7.8

EPSS Низкий

Описание

A CWE-89: Improper Neutralization of Special Elements used in SQL Command (‘SQL Injection’) vulnerability exists that allows adversaries with local user privileges to craft a malicious SQL query and execute as part of project migration which could result in execution of malicious code. Affected Products: EcoStruxure Operator Terminal Expert(V3.3 Hotfix 1 or prior), Pro-face BLUE(V3.3 Hotfix1 or prior).

Ссылки

https://www.se.com/ww/en/download/document/SEVD-2022-284-01/
Patch
Vendor Advisory
https://www.se.com/ww/en/download/document/SEVD-2022-284-01/
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:schneider-electric:ecostruxure_operator_terminal_expert:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:a:schneider-electric:ecostruxure_operator_terminal_expert:3.3:-:*:*:*:*:*:*

cpe:2.3:a:schneider-electric:ecostruxure_operator_terminal_expert:3.3:hotfix1:*:*:*:*:*:*

cpe:2.3:a:schneider-electric:pro-face_blue:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:a:schneider-electric:pro-face_blue:3.3:-:*:*:*:*:*:*

cpe:2.3:a:schneider-electric:pro-face_blue:3.3:hotfix1:*:*:*:*:*:*

EPSS

Процентиль: 43%

0.00208

Низкий

7 High

CVSS3

7.8 High

CVSS3

Дефекты

CWE-89

Связанные уязвимости

GHSA-jhfw-j77h-rvv3

CVSS3: 7.8

github

больше 2 лет назад

BDU:2023-02121

CVSS3: 7

fstec

больше 3 лет назад

Уязвимость программного обеспечения для конфигурации HMI терминалов Schneider Electric EcoStruxure Operator Terminal Expert и программного обеспечения SCADA Pro-face BLUE, связанная с непринятием мер по защите структуры SQL-запроса, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 43%

0.00208

Низкий

7 High

CVSS3

7.8 High

CVSS3

Дефекты

CWE-89