ICS-CERT informuje o nowych podatnościach w produkcie firmy Hitachi Energy. (P25-224)

utworzone przez | lip 17, 2025 | ICS

ProduktAplikacja mobilna Asset Suite AnyWhere for Inventory (AWI) na Androida: wersje 11.5 i starsze (CVE-2019-9262, CVE-2019-9429, CVE-2019-9256, CVE-2019-9290) Seria Asset Suite 9: wersja 9.6.4.4 (CVE-2025-1484, CVE-2025-2500) Seria Asset Suite 9: wersja 9.7 (CVE-2025-2500)
Numer CVECVE-2025-1484
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L
OpisW komponencie przesyłania multimediów w wymienionych powyżej wersjach pakietu Asset Suite istnieje luka w zabezpieczeniach. Jej skuteczne wykorzystanie może naruszyć poufność lub integralność systemu. Atakujący może wykorzystać tę lukę do skonstruowania żądania, które spowoduje wykonanie dostarczonego przez niego kodu JavaScript w przeglądarce użytkownika w kontekście sesji tego użytkownika z aplikacją.
  
Numer CVECVE-2025-2500
Krytyczność7,4/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
OpisW usługach sieciowych SOAP w wymienionych powyżej wersjach pakietu Asset Suite istnieje luka w zabezpieczeniach. Jej skuteczne wykorzystanie może umożliwić atakującemu uzyskanie nieautoryzowanego dostępu do produktu, a czas potencjalnego ataku z wykorzystaniem hasła może się wydłużyć.
  
Numer CVECVE-2019-9262
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisW komponencie MPEG4Extractor ekstraktora multimediów istnieje luka w zabezpieczeniach. W przypadku jej skutecznego wykorzystania atakujący może wywołać zapis poza zakresem uprawnień, co potencjalnie może prowadzić do zdalnego wykonania kodu.
  
Numer CVECVE-2019-9429
Krytyczność7,8/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisW komponencie profman istnieje luka w zabezpieczeniach spowodowana uszkodzeniem pamięci. W przypadku jej skutecznego wykorzystania atakujący może wywołać zapis poza zakresem uprawnień, co potencjalnie może prowadzić do nieautoryzowanego lokalnego podniesienia uprawnień.
  
Numer CVECVE-2019-9256
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisW komponencie libmediaextractor istnieje luka bezpieczeństwa. W przypadku jej skutecznego wykorzystania atakujący może wywołać zapis poza zakresem z powodu przepełnienia całkowitoliczbowego, co potencjalnie może prowadzić do zdalnego wykonania kodu.
  
Numer CVECVE-2019-9290
Krytyczność8,8/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisW komponencie tzdata istnieje luka bezpieczeństwa wynikająca z niezgodności między funkcjami alokacji i dealokacji. W przypadku jej skutecznego wykorzystania atakujący może wywołać uszkodzenie pamięci, co potencjalnie może prowadzić do lokalnej eskalacji uprawnień.
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-25-196-01