| Produkt | DIAEnergie: Wersje wcześniejsze niż v1.10.00.005 |
| Numer CVE | CVE-2024-28029 |
| Krytyczność | 8,8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Uprawnienia nie są w pełni weryfikowane po stronie serwera, co może zostać nadużyte przez użytkownika z ograniczonymi uprawnieniami w celu ominięcia autoryzacji i uzyskania dostępu do uprzywilejowanych funkcjonalności. |
| | |
| Numer CVE | CVE-2024-28891 |
| Krytyczność | 8,8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | W skrypcie Handler_CFG.ashx występuje luka w zabezpieczeniach umożliwiająca wstrzykiwanie SQL. |
| | |
| Numer CVE | CVE-2024-25937 |
| Krytyczność | 8,8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | W skrypcie DIAE_tagHandler.ashx występuje luka w zabezpieczeniach umożliwiająca wstrzykiwanie SQL. |
| | |
| Numer CVE | CVE-2024-28040 |
| Krytyczność | 8,8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | W GetDIAE_astListParameters istnieje luka w zabezpieczeniach związana z iniekcją SQL. |
| | |
| Numer CVE | CVE-2024-23975 |
| Krytyczność | 8,8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | W GetDIAE_slogListParameters istnieje luka w zabezpieczeniach umożliwiająca iniekcję SQL. |
| | |
| Numer CVE | CVE-2024-23494 |
| Krytyczność | 8,8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | W GetDIAE_unListParameters istnieje luka w zabezpieczeniach umożliwiająca iniekcję SQL. |
| | |
| Numer CVE | CVE-2024-25574 |
| Krytyczność | 8,8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | W GetDIAE_usListParameters istnieje luka w zabezpieczeniach umożliwiająca iniekcję SQL. |
| | |
| Numer CVE | CVE-2024-28171 |
| Krytyczność | 8,1/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
| Opis | Możliwe jest wykonanie ataku polegającego na przekroczeniu ścieżki i zapis poza zamierzonym katalogiem. Jeśli zostanie określona nazwa pliku, która już istnieje w systemie plików, oryginalny plik zostanie nadpisany. |
| | |
| Numer CVE | CVE-2024-25567 |
| Krytyczność | 8,1/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
| Opis | Możliwy jest atak polegający na przekroczeniu ścieżki, zapis poza zamierzonym katalogiem i może uzyskać dostęp do poufnych informacji. Jeśli zostanie określona nazwa pliku, która już istnieje w systemie plików, oryginalny plik zostanie nadpisany. |
| | |
| Numer CVE | CVE-2024-28045 |
| Krytyczność | 8,1/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
| Opis | Niewłaściwa neutralizacja danych wejściowych w produkcie, którego dotyczy problem, może prowadzić do tworzenia skryptów między witrynami. |
| | |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/news-events/ics-advisories/icsa-24-074-12 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny