ICS-CERT informuje o nowych podatnościach w produktach firmy Advantech. (P24-312)

utworzone przez | wrz 30, 2024 | ICS

ProduktAdvantech ADAM 5550: wszystkie wersje
Numer CVECVE-2024-37187
Krytyczność5.7/10
CVSSAV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
OpisDane uwierzytelniające użytkownika są udostępniane przy użyciu niskiego poziomu szyfrowania, obejmującego kodowanie Base64.
  
Numer CVECVE-2024-38308
Krytyczność8.8/10
CVSSAV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisAplikacja internetowa Advantech ADAM 5550 zawiera stronę „logs”, na której wyświetlane są użytkownikowi wszystkie otrzymane żądania HTTP. Urządzenie nie neutralizuje poprawnie złośliwego kodu podczas analizowania żądań HTTP w celu wygenerowania wyników strony.
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-24-270-01
ProduktAdvantech ADAM-5630: wersje wcześniejsze niż v2.5.2
Numer CVECVE-2024-39275
Krytyczność8.0/10
CVSSAV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisPliki cookie uwierzytelnionych użytkowników pozostają aktywnymi, ważnymi plikami cookie, gdy sesja jest zamykana. Sfałszowanie żądań za pomocą legalnego pliku cookie, nawet jeśli sesja została zakończona, pozwala nieautoryzowanemu atakującemu działać z takim samym poziomem uprawnień, jak legalny użytkownik.
  
Numer CVECVE-2024-28948
Krytyczność8.0/10
CVSSAV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisCross-site request forgery (CSRF) to luka w zabezpieczeniach sieci, która umożliwia atakującemu nakłonienie użytkowników do wykonania działań, których nie zamierzają wykonać. Umożliwia atakującemu częściowe obejście polityki tego samego pochodzenia, która ma na celu zapobieganie wzajemnemu zakłócaniu się różnych witryn.
  
Numer CVECVE-2024-34542
Krytyczność5.7/10
CVSSAV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
OpisDane uwierzytelniające użytkownika są udostępniane w postaci zwykłego tekstu pomiędzy urządzeniem a urządzeniem źródłowym użytkownika podczas procesu logowania.
  
Numer CVECVE-2024-39364
Krytyczność6.3/10
CVSSAV:A/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
OpisUrządzenie ma wbudowane polecenia, które można wykonać bez uwierzytelniania użytkownika. Polecenia te umożliwiają ponowne uruchomienie systemu operacyjnego, ponowne uruchomienie sprzętu i zatrzymanie wykonywania. Polecenia mogą być wysyłane na proste żądanie HTTP i są wykonywane przez urządzenie automatycznie, bez dyskryminacji pochodzenia lub poziomu uprawnień użytkownika wysyłającego polecenia.
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-24-270-02