CVE-2023-46290

Опубликовано: 27 окт. 2023

Источник: nvd

CVSS3: 8.1

EPSS Низкий

Описание

Due to inadequate code logic, a previously unauthenticated threat actor could potentially obtain a local Windows OS user token through the FactoryTalk® Services Platform web service and then use the token to log in into FactoryTalk® Services Platform . This vulnerability can only be exploited if the authorized user did not previously log in into the FactoryTalk® Services Platform web service.

Ссылки

https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1141165
Permissions Required
Vendor Advisory
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1141165
Permissions Required
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:rockwellautomation:factorytalk_services_platform:*:*:*:*:*:*:*:*

Версия до 2.80 (исключая)

EPSS

Процентиль: 43%

0.00209

Низкий

8.1 High

CVSS3

Дефекты

CWE-287

Связанные уязвимости

GHSA-5gjm-5h8m-h8w7

CVSS3: 8.1

github

больше 2 лет назад

BDU:2023-08627

CVSS3: 8.1

fstec

больше 2 лет назад

Уязвимость программного обеспечения управления производственными процессами FactoryTalk Services Platform, связанная с недостатками процедуры аутентификации, позволяющая нарушителю обойти процесс аутентификации и получить полный доступ к устройству

EPSS

Процентиль: 43%

0.00209

Низкий

8.1 High

CVSS3

Дефекты

CWE-287