ICS-CERT poinformował o podatności w produktach AVEVA i Columbia Weather Systems.
Producent: AVEVA
Podatności:
- CVE-2019-6534 – brak kontroli ścieżki wyszukiwania umożliwia atakującemu załadowanie i wykonanie złośliwego pliku.
Podatne produkty:
- InduSoft Web Studio wersje wcześniejsze niż v8.1 SP3,
- InTouch Edge HMI wersje wcześniejsze niż 2017 Update 3.
Więcej informacji: https://ics-cert.us-cert.gov/advisories/ICSA-19-078-01
Producent: Columbia Weather System
Podatności:
- CVE-2018-18875, CVE-2018-18880 – podatność typu XSS, w której występuje błąd sprawdzania poprawności danych wejściowych, który umożliwia wykonanie dowolnego skryptu.
- CVE-2018-18876 – luka typu “path traversal”, która może umożliwić atakującemu dostęp do plików urządzenia docelowego.
- CVE-2018-18877 – umożliwia obejście uwierzytelnienia, co może umożliwić atakującemu dokonanie zmian na urządzeniu lub wywołanie odmowy usługi (DoS).
- CVE-2018-18878 – umożliwia atakującemu utworzenie danych wejściowych w postaci, która nie jest odczytywana przez resztę aplikacji, co może powodować wywołanie odmowy usługi (DoS).
- CVE-2018-18879 – umożliwia zdalne wykonanie kodu.
Podatne produkty:
- Weather MicroServer firmware wersja MS_2.6.9900 i wcześniejsze.
Więcej informacji: https://ics-cert.us-cert.gov/advisories/ICSA-19-078-02
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny