ProduktModicon M221: wszystkie wersje
Numer CVECVE-2020-7565
Krytyczność7.1 / 10
CVSSAV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach niewystarczającej siły szyfrowania, która może umożliwić atakującemu złamanie klucza szyfrowania, gdy atakujący przechwyci ruch między oprogramowaniem EcoStruxure Machine – Basic a kontrolerem Modicon M221.
AktualizacjaTAK
  
Numer CVECVE-2020-7566
Krytyczność7.1 / 10
CVSSAV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisIstnieje niewielka luka w zabezpieczeniach wartości losowych, która może umożliwić atakującemu złamanie kluczy szyfrujących, gdy atakujący przechwyci ruch między oprogramowaniem EcoStruxure Machine – Basic a kontrolerem Modicon M221.
AktualizacjaTAK
  
Numer CVECVE-2020-7567
Krytyczność7.1 / 10
CVSSAV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisIstnieje brak możliwości szyfrowania wrażliwych danych, które może umożliwić atakującemu znalezienie skrótu hasła, gdy atakujący przechwyci ruch między oprogramowaniem EcoStruxure Machine – Basic a kontrolerem Modicon M221 i złamie klucze szyfrujące.
AktualizacjaTAK
  
Numer CVECVE-2020-7568
Krytyczność3.1 / 10
CVSSAV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisNarażenie wrażliwych informacji na lukę w zabezpieczeniach nieautoryzowanego podmiotu może pozwolić na ujawnienie informacji niewrażliwych, gdy osoba atakująca przechwyci ruch między oprogramowaniem EcoStruxure Machine – Basic a kontrolerem Modicon M221.
AktualizacjaTAK
  
Numer CVECVE-2020-28214
Krytyczność3.3 / 10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OpisIstnieje użycie jednokierunkowego skrótu z przewidywalną luką w zabezpieczeniach, która może umożliwić atakującemu wstępne obliczenie wartości skrótu za pomocą ataku słownikowego, skutecznie wyłączając ochronę, którą zapewniłaby nieprzewidywalna sól.
AktualizacjaTAK
Linkhttps://us-cert.cisa.gov/ics/advisories/icsa-20-343-04
ProduktEasergy T300 with firmware, wersja 2.7 i wcześniejsze
Numer CVECVE-2020-7561
Krytyczność10 / 10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H
OpisProdukt, którego dotyczy luka, jest narażony na brak uwierzytelnienia w przypadku usterki funkcji krytycznych, co może pozwolić osobie atakującej na ujawnienie informacji, spowodowanie odmowy usługi i zdalne wykonanie dowolnego kodu.
AktualizacjaTAK
Numer CVECVE-2020-28215
Krytyczność7.7 / 10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:H
OpisProdukt, którego dotyczy luka, jest podatny na brak luki w zabezpieczeniach związanej z autoryzacją, co może umożliwić osobie atakującej uzyskanie dostępu do poufnych informacji, spowodowanie odmowy usługi i zdalne wykonanie dowolnego kodu, gdy kontrole dostępu nie są stosowane konsekwentnie.
AktualizacjaTAK
  
Numer CVECVE-2020-28216
Krytyczność7.6 / 10
CVSSAV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
OpisProdukt, którego dotyczy luka, jest podatny na brak możliwości szyfrowania wrażliwych danych, co może pozwolić osobie atakującej na odczytanie ruchu sieciowego za pośrednictwem protokołu HTTP.
AktualizacjaTAK
  
Numer CVECVE-2020-28217
Krytyczność6.7 / 10
CVSSAV:P/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:L
OpisProdukt, którego dotyczy luka, jest narażony na brak możliwości szyfrowania wrażliwych danych, co może pozwolić osobie atakującej na odczyt ruchu sieciowego za pośrednictwem protokołu IEC60870-5-104.
AktualizacjaTAK
  
Numer CVECVE-2020-28218
Krytyczność6.7 / 10
CVSSAV:L/AC:H/PR:N/UI:R/S:C/C:N/I:H/A:L
OpisProdukt, którego dotyczy luka, jest podatny na ataki z powodu nieprawidłowego ograniczenia renderowanych warstw interfejsu użytkownika lub usterki ramek, co może umożliwić osobie atakującej nakłonienie użytkownika do podjęcia niezamierzonej czynności.
AktualizacjaTAK
Linkhttps://us-cert.cisa.gov/ics/advisories/icsa-20-343-03