ICS-CERT informuje o podatnościach w OSIsoft i Rockwell Automation

utworzone przez | cze 15, 2020 | ICS

ProduktPI Web API 2019 Patch 1 (1.12.0.6346) i wersje wcześniejsze
Numer CVE CVE-2020-12021
Krytyczność 7.7 / 10
Wektor CVSS AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
Opis Luka typu Cross-Site Scripting (XSS) może pozwolić atakującemu na zdalne wykonanie dowolnego kodu.
Linkhttps://www.us-cert.gov/ics/advisories/icsa-20-163-01
ProduktFactoryTalk Linx, wersja 6.00, 6.10 i 6.11
RSLinx Classic v4.11.00 i wcześniejsze
Connected Components Workbench, wersja 12 i wcześniejsze
ControlFLASH, wersja 14 i wcześniejsze
ControlFLASH Plus, wersja 1 i wcześniejsze
FactoryTalk Asset Centre, wersja 9 i wcześniejsze
FactoryTalk Linx CommDTM, wersja 1 i wcześniejsze
Studio 5000 Launcher, wersja 31 i wcześniejsze
Studio 5000 Logix Designer software, wersja 32 i wcześniejsze
Numer CVECVE-2020-11999
Krytyczność9.6 / 10
Wektor CVSSAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
OpisLuka może pozwolić atakującemu na określenie nazwy pliku w celu wykonania nieautoryzowanego kodu i modyfikacji plików lub danych.
Numer CVE CVE-2020-12001
Krytyczność 9.6 / 10
Wektor CVSS AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
Opis Mechanizm przetwarzania określonych typów plików, nie zapewnia wystarczającej ochrony danych wejściowych, co może pozwolić atakującemu na modyfikacje plików, ujawnienie poufnych danych lub wykonanie dowolnego kodu.
Numer CVE CVE-2020-12003
Krytyczność 7.5 / 10
Wektor CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Opis Luka może pozwolić atakującemu na użycie spreparowanych żądań w celu ujawnienia poufnych danych.
Numer CVE CVE-2020-12005
Krytyczność 7.5 / 10
Wektor CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Opis W funkcji komunikacji istnieje usterka, która umożliwia użytkownikom przesyłanie plików EDS przez FactoryTalk Linx, przesłanie źle skompresowanego pliku może pozwolić atakującemu na wywołanie warunku odmowy usługi (DoS).
Linkhttps://www.us-cert.gov/ics/advisories/icsa-20-163-02