| Produkt | M-Bus SoftwarePack 900S |
| Numer CVE | CVE-2023-36859 |
| Krytyczność | 8,8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | PiiGAB M-Bus nie oczyszcza prawidłowo danych wprowadzanych przez użytkownika, co może pozwolić atakującemu na wstrzyknięcie dowolnych poleceń. |
| | |
| Numer CVE | CVE-2023-33868 |
| Krytyczność | 5,9/10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Opis | Liczba prób logowania nie jest ograniczona. Może to pozwolić atakującemu na brutalne użycie podstawowego uwierzytelniania HTTP. |
| | |
| Numer CVE | CVE-2023-31277 |
| Krytyczność | 7,5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Opis | PiiGAB M-Bus przesyła dane uwierzytelniające w formacie zwykłego tekstu. |
| | |
| Numer CVE | CVE-2023-35987 |
| Krytyczność | 9,8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | PiiGAB M-Bus zawiera zakodowane na stałe poświadczenia, których używa do uwierzytelnienia |
| | |
| Numer CVE | CVE-2023-35765 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| Opis | PiiGAB M-Bus przechowuje poświadczenia w pliku tekstowym, co może umożliwić użytkownikowi niskiego poziomu uzyskanie poświadczeń administratora. |
| | |
| Numer CVE | CVE-2023-32652 |
| Krytyczność | 8.0/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
| Opis | Produkt, którego dotyczy problem, nie weryfikuje ciągów identyfikacyjnych przed przetworzeniem, co może narazić go na ataki typu cross-site scripting |
| | |
| Numer CVE | CVE-2023-34995 |
| Krytyczność | 7,5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Opis | Nie ma wymagań dotyczących ustawiania złożonego hasła, które mogłoby przyczynić się do udanego ataku siłowego, jeśli hasło jest zgodne z zalecanymi wytycznymi dotyczącymi haseł |
| | |
| Numer CVE | CVE-2023-34433 |
| Krytyczność | 7,5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Opis | PiiGAB M-Bus przechowuje hasła przy użyciu słabego algorytmu mieszania. |
| | |
| Numer CVE | CVE-2023-35120 |
| Krytyczność | 8,8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | PiiGAB M-Bus jest podatny na fałszowanie żądań między witrynami. Osoba atakująca, która chce wykonać określone polecenie, może wysłać wiadomość phishingową do właściciela urządzenia i mieć nadzieję, że właściciel kliknie łącze. Jeśli właściciel urządzenia ma zapisany plik cookie, który umożliwia zalogowanie się właściciela, urządzenie może wykonać żądanie łącza GET lub POST. |
| | |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/news-events/ics-advisories/icsa-23-187-01 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny