Proficy Machine Edition w wersji 9.00 i wcześniejszych nie ma uwierzytelniania ani autoryzacji pakietów danych po nawiązaniu połączenia dla protokołu SRTP.
CVE
CVE-2022-2792
Krytyczność
6.6 /10
CVSS
AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:H
Opis
Proficy Machine Edition w wersji 9.00 i wcześniejszych przechowuje dane projektu w katalogu z niewłaściwymi listami kontroli dostępu.
CVE
CVE-2022-2791
Krytyczność
5.9 /10
CVSS
AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:N
Opis
Proficy Machine Edition w wersji 9.00 i wcześniejszych ładuje dowolny plik zapisany w folderze logicznym PLC do podłączonego PLC.
CVE
CVE-2022-2790
Krytyczność
5.9 /10
CVSS
AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:N
Opis
Proficy Machine Edition w wersji 9.00 i wcześniejszych nie weryfikuje prawidłowo skompilowanej logiki (pliki PDT) i danych bloków danych (pliki BLD/BLK).
CVE
CVE-2022-2788
Krytyczność
9.3 /10
CVSS
AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:H
Opis
Proficy Machine Edition w wersji 9.80 i wcześniejszych jest podatny na atak ZipSlip w procedurze przesyłania: umożliwia atakującym wszczepienie złośliwego pliku .BLZ do sterownika PLC. Plik może zostać przesłany przez stację inżynierską do systemu Windows w sposób, który umożliwia wykonanie złośliwego kodu.
CVE
CVE-2022-2789
Krytyczność
4.7 /10
CVSS
AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N
Opis
Proficy Machine Edition w wersji 9.00 i wcześniejszych może wyświetlać logikę inną niż logika skompilowana.