ICS-CERT poinformował o podatności w produktach Panasonic oraz Optergy.

Producent: Panasonic

Podatności:

  • CVE-2019-6530 – pliki projektów utworzone przez atakującego załadowane przez uwierzytelnionego użytkownika mogą powodować przepełnienia bufora na stercie, co może prowadzić do zdalnego wykonania kodu.
  • CVE-2019-6532 – pliki projektów utworzone przez atakującego załadowane przez uwierzytelnionego użytkownika mogą powodować błędy, ponieważ zasób nie ma oczekiwanych właściwości. Może to prowadzić do zdalnego wykonania kodu.

Podatne produkty:

  • FPWIN Pro wersja 7.3.0.0 i wcześniejsze.

Więcej informacji: https://ics-cert.us-cert.gov/advisories/ICSA-19-157-02

Producent: Optergy

Podatności:

  • CVE-2019-7272, CVE-2019-7277 – aplikacja zawiera lukę umożliwiającą uzyskanie takich informacji jak: informacje o użytkownikach, wewnętrzny adres IP, maska sieci, nazwa hosta, brama, serwer DNS i DNS 2.
  • CVE-2019-7273 – aplikacja, której dotyczy problem umożliwia użytkownikom wykonywanie określonych działań za pośrednictwem żądań HTTP bez przeprowadzania jakichkolwiek weryfikacji.
  • CVE-2019-7274 – zdalny, nieuwierzytelniony atakujący może przesyłać pliki z dowolnymi rozszerzeniami do katalogu głównego aplikacji i uruchamiać je z uprawnieniami serwera WWW.
  • CVE-2019-7275 – podatność umożliwia przekierowanie użytkownika na dowolną stronę internetową poprzez kliknięcie spreparowanego linku skryptu hostowanego w zaufanej domenie.
  • CVE-2019-7276 – atakujący mogą wykorzystać nieudokumentowany skryptu i uzyskać pełny dostęp do systemu. Umożliwia to wykonywanie nieuwierzytelnionego kodu z najwyższymi uprawnieniami.
  • CVE-2019-7278 – nieuwierzytelnieni użytkownicy mogą korzystać z niezadeklarowanych funkcji klasowych, aby uzyskać bezpośredni dostęp do określonych zasobów.
  • CVE-2019-7279 – atakujący mogą użyć CVE-2019-7278 do wysyłania nieautoryzowanych wiadomości SMS na dowolny numer telefonu.

Podatne produkty:

  • Proton/Enterprise Building Management System wersja 2.3.0a i wcześniejsze.

Więcej informacji: https://ics-cert.us-cert.gov/advisories/ICSA-19-157-01