ICS-CERT poinformował o podatności w produktach Leão Consultoria e Desenvolvimento de Sistemas.
Skuteczne wykorzystanie tych luk może pozwolić na zdalne wykonanie kodu, wyciek danych lub awarię systemu.
Producent: LCDS
Podatności:
- CVE-2018-18988 – otwarcie spreparowanego raportu pozwala na zdalne wykonanie kodu, wyciek danych lub awarię systemu.
- CVE-2018-19004 – otwarcie spreparowanego projektu pozwala na wykorzystanie luki “out-of-bounds” umożliwiając wyciek danych.
- CVE-2018-19002 – otwarcie spreparowanego projektu może spowodować niewłaściwe generowanie kodu co umożliwia zdalne wykonanie kodu, wyciek danych lub awarię systemu.
- CVE-2018-19029 – atakujący używający spreparowanego projektu może zastąpić wskaźnik dla kontrolowanego adresu pamięci umożliwiając zdalne wykonanie kodu, wyciek danych lub awarię systemu.
- CVE-2018-18986 – otwarcie spreparowanego projektu pozwala na wykorzystanie luki “out-of-bounds” umożliwiając zdalne wykonanie kodu, wyciek danych lub awarię systemu.
- CVE-2018-18990 – brak poprawnej weryfikacji ścieżki. Wykorzystanie tej luki prowadzi do ujawnienia poufnych informacji, z uprawnieniami usługi www.
- CVE-2018-18994 – otwarcie spreparowanego projektu pozwala na wykorzystanie luki “out-of-bounds” umożliwiając wyciek danych lub awarię systemu.
- CVE-2018-18992 – brak poprawnej weryfikacji danych wprowadzanych przez użytkownika pozwala na wykonanie kodu.
- CVE-2018-18996 – brak poprawnej weryfikacji danych wprowadzanych przez użytkownika pozwala na wykonanie kodu.
- CVE-2018-18998 – korzystanie z zaszyfrowanych poświadczeń może umożliwić atakującemu nieautoryzowany dostęp do systemu z wysokimi uprawnieniami.
- CVE-2018-19000 – umożliwia obejście uwierzytelnienia oraz dostęp do poufnych danych.
Podatne produkty:
- LAquis SCADA 4.1.0.3870.
Więcej informacji: https://ics-cert.us-cert.gov/advisories/ICSA-19-015-01
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny