ICS-CERT poinformował o podatności w produktach Computrols oraz Mitsubishi Electric.

Producent: Computrols

Podatności:

  • CVE-2019-10847 – podatność CSRF
  • CVE-2019-10848 – możliwość ujawnienia danych o użytkownikach
  • CVE-2019-10846 – podatność XSS
  • CVE-2019-10854 – podatność umożliwiająca podmianę komendy systemu operacyjnego
  • CVE-2019-10849 – podatność polegająca na możliwości podglądu kodu źródłowego w niezabezpieczonym repozytorium SVN
  • CVE-2019-10851 – podatność polegająca na istnieniu zakodowanych “na sztywno” kluczy kryptograficznych
  • CVE-2019-10852 – podatność SQL Injection
  • CVE-2019-10853 – podatność polegająca na możliwości obejścia uwierzytelniania
  • CVE-2019-10855 – słabe szyfrowanie haseł

Podatne produkty:

  • CBAS Web wersje do 19.0.1, 18.0.1, 15.0.1, 14.0.1, 8.0.7, 7.2.1-Beta, 6.9.2, 4.8.2, 3.15.1

Więcej informacji: https://ics-cert.us-cert.gov/advisories/ICSA-19-141-01

Producent: Mitsubishi Electric

Podatności:

  • CVE-2019-10977 – wysłanie odpowiednich pakietów TCP na port FTP może spowodować błąd lub odmowę dostępu (DoS)

Podatne produkty:

  • MELSEC-Q series Ethernet module QJ71E71-100 serial number 20121 (i wcześniejsze)

Więcej informacji: https://ics-cert.us-cert.gov/advisories/ICSA-19-141-02