CVE-2024-37038

Опубликовано: 12 июн. 2024

Источник: nvd

CVSS3: 7.5

CVSS3: 8.8

EPSS Низкий

Описание

CWE-276: Incorrect Default Permissions vulnerability exists that could allow an authenticated user with access to the device’s web interface to perform unauthorized file and firmware uploads when crafting custom web requests.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:schneider-electric:sage_rtu_firmware:*:*:*:*:*:*:*:*

Версия до c3414-500-s02k5_p9 (исключая)

Одно из

cpe:2.3:h:schneider-electric:sage_1410:-:*:*:*:*:*:*:*

cpe:2.3:h:schneider-electric:sage_1430:-:*:*:*:*:*:*:*

cpe:2.3:h:schneider-electric:sage_1450:-:*:*:*:*:*:*:*

cpe:2.3:h:schneider-electric:sage_2400:-:*:*:*:*:*:*:*

cpe:2.3:h:schneider-electric:sage_3030_magnum:-:*:*:*:*:*:*:*

cpe:2.3:h:schneider-electric:sage_4400:-:*:*:*:*:*:*:*

EPSS

Процентиль: 60%

0.00395

Низкий

7.5 High

CVSS3

8.8 High

CVSS3

Дефекты

CWE-276

Связанные уязвимости

GHSA-f3h5-qqxj-cvgg

CVSS3: 7.5

github

больше 1 года назад

BDU:2024-04667

CVSS3: 7.5

fstec

больше 1 года назад

Уязвимость веб-интерфейса микропрограммного обеспечения устройств дистанционного управления освещением и энергопотреблением Schneider Electric Sage, позволяющая нарушителю загружать произвольные файлы и встроенное программное обеспечение

EPSS

Процентиль: 60%

0.00395

Низкий

7.5 High

CVSS3

8.8 High

CVSS3

Дефекты

CWE-276