ICS-CERT poinformował o podatności w produktach Yokogawa i Moxa.

Producent: Yokogawa

Podatności:

CVE-2019-6008 – ścieżki usług, w niektórych aplikacjach Yokogawa zawierają błędy. Umożliwia to lokalnemu atakującemu wykorzystanie spreparowanych plików.

Podatne produkty:

  • Exaopc (R1.01.00 – R3.77.00)
  • Exaplog (R1.10.00 – R3.40.00)
  • Exaquantum (R1.10.00 – R3.02.00)
  • Exaquantum/Batch (R1.01.00 – R2.50.40)
  • Exasmoc (All Revisions)
  • Exarqe (All Revisions)
  • GA10 (R1.01.01 – R3.05.01)
  • InsightSuiteAE (R1.01.00 – R1.06.00)

Więcej informacji: https://www.us-cert.gov/ics/advisories/icsa-19-274-02

Producent: Moxa

Podatności:

CVE-2019-10969 – uwierzytelniony atakujący może nadużyć funkcji ping do wykonania nieautoryzowanych poleceń w routerze, co może umożliwić zdalne wykonanie kodu.

CVE-2019-10963 – nieuwierzytelniony atakujący może uzyskać niektóre logi z urządzenia, co może umożliwić ujawnienie poufnych informacji. Logi muszą zostać wcześniej wyeksportowane przez uprawnionego użytkownika.

Podatne produkty:

  • EDR-810, wersja 5.1 i wcześniejsze

Więcej informacji: https://www.us-cert.gov/ics/advisories/icsa-19-274-03