| Produkt | MACH SSW: wersja 5.0 to 7.17.0.0 MACH SSW: wersja 7.10.0.0 to 7.18.0.0 |
| Numer CVE | CVE-2023-2621 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
| Opis | Serwer McFeeder (rozprowadzany jako część pakietu SSW) jest podatny na dowolną lukę umożliwiającą zapis plików w głównym systemie komputerowym. Luka ta wynika z użycia przestarzałej wersji biblioteki strony trzeciej, która służy do wyodrębniania archiwów przesyłanych na serwer McFeeder. Uwierzytelniony złośliwy klient może wykorzystać tę lukę, przesyłając spreparowane archiwum ZIP za pośrednictwem sieci do punktu końcowego usługi McFeeder. |
| Numer CVE | CVE-2023-2621 |
| Krytyczność | 2,7/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N |
| Opis | Uwierzytelnieni klienci mogą odczytywać dowolne pliki w systemie komputera MAIN, korzystając ze zdalnego wywołania procedury (RPC) punktu końcowego usługi InspectSetup. Klient o niskich uprawnieniach może następnie czytać dowolne pliki, do których odczytania nie ma uprawnień. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/news-events/ics-advisories/icsa-23-320-02 |
ICS-CERT informuje o nowych podatnościach w produkcie firmy Hitachi Energy. (P24-373)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny