ProduktEcoStruxure Control Expert,
wszystkie wersje przed wersją 15.0 SP1 o  W tym wszystkie wersje Unity Pro (dawna nazwa EcoStruxure Control Expert)
EcoStruxure Control Expert v15.0 SP1
EcoStruxure Process Expert, wszystkie wersje o W tym wszystkie wersje EcoStruxure Hybrid DCS (poprzednia nazwa EcoStruxure Process Expert)
SCADAPack RemoteConnect dla x70, wszystkie wersje
SCADAPack 470, 474, 570, 574 i 575 RTU, wszystkie wersje
Procesor Modicon M580 (numery części BMEP* i BMEH*), wszystkie wersje
Numer CVECVE-2021-22778
Krytyczność8.6/10
CVSSAV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach niewystarczająco chronionych poświadczeń, która może powodować odczytywanie lub modyfikowanie chronionych pochodnych bloków funkcyjnych przez nieautoryzowanych użytkowników podczas uzyskiwania dostępu do pliku projektu.
AktualizacjaTAK
  
Numer CVECVE-2021-22779
Krytyczność8.1/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach polegająca na obejściu uwierzytelniania przez fałszowanie, która może spowodować nieautoryzowany dostęp w trybie odczytu i zapisu do kontrolera poprzez fałszowanie komunikacji Modbus między oprogramowaniem inżynierskim a kontrolerem.
AktualizacjaTAK
  
Numer CVECVE-2020-12525
Krytyczność7.3/10
CVSSAV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
OpisKomponent fdtCONTAINER M&M Software w wersjach niższych niż 3.5.20304.xi pomiędzy 3.6 a 3.6.20304.x jest podatny na deserializację niezaufanych danych w pamięci projektu. Uwaga: ta luka może spowodować lokalne wykonanie kodu na inżynierskiej stacji roboczej, gdy złośliwy plik projektu zostanie załadowany do oprogramowania inżynierskiego.
AktualizacjaTAK
  
Numer CVECVE-2021-22780
Krytyczność7.1/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
OpisIstnieje luka w zabezpieczeniach niewystarczająco chronionych poświadczeń, która może spowodować nieautoryzowany dostęp do pliku projektu chronionego hasłem, gdy ten plik jest udostępniany niezaufanym źródłom. Atakujący może ominąć ochronę hasłem i mieć możliwość przeglądania i modyfikowania pliku projektu.
AktualizacjaTAK
  
Numer CVECVE-2021-22781
Krytyczność6.2/10
CVSSAV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
OpisIstnieje luka w zabezpieczeniach poświadczeń niewystarczająco chronionych, która może spowodować wyciek poświadczeń SMTP używanych do uwierzytelniania skrzynki pocztowej, gdy osoba atakująca może uzyskać dostęp do pliku projektu.
AktualizacjaTAK
  
Numer CVECVE-2021-22782
Krytyczność6.2/10
CVSSAV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
OpisIstnieje brakująca luka w szyfrowaniu poufnych danych, która może spowodować wyciek informacji umożliwiający ujawnienie informacji o sieci i procesie, poświadczeniach lub własności intelektualnej, gdy osoba atakująca może uzyskać dostęp do pliku projektu.
AktualizacjaTAK
Linkhttps://us-cert.cisa.gov/ics/advisories/icsa-21-194-02
ProduktC-Bus Toolkit Wersje 1.15.8 i wcześniejsze
Numer CVECVE-2021-22784
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
OpisIstnieje problem z nieprawidłowym uwierzytelnianiem, który może umożliwić osobie atakującej korzystanie ze spreparowanej strony internetowej, która umożliwia zdalny dostęp do systemu.
AktualizacjaTAK
Linkhttps://us-cert.cisa.gov/ics/advisories/icsa-21-194-01