Nowe podatności w produktach firmy B&R Industrial Automation. (P25-354)

utworzone przez | paź 14, 2025 | ICS

ProduktAutomation Runtime version <6.3 and <Q4.93
Numer CVECVE-2025-3450
Krytyczność10/10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H/E:U/RL:O/RC:C
OpisLuka w zabezpieczeniach polegająca na niewłaściwym blokowaniu zasobów w komponencie SDM środowiska B&R Automation Runtime w wersjach wcześniejszych niż 6.3 i wcześniejszych niż 4. kwartał 1993 może umożliwić nieuwierzytelnionemu atakującemu z sieci usunięcie danych, powodując odmowę usługi.
  
AktualizacjaTAK
Linkhttps://www.br-automation.com/fileadmin/SA25P002-f6a69e61.pdf
ProduktAutomation Runtime < 6.4
Numer CVECVE-2025-3449
Krytyczność4.2/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N/E:F/RL:O/RC:C
OpisLuka w zabezpieczeniach polegająca na generowaniu przewidywalnych liczb lub identyfikatorów w komponencie SDM środowiska B&R Automation Runtime w wersjach wcześniejszych niż 6.4 może umożliwić nieuwierzytelnionemu atakującemu z sieci przejęcie już ustanowionych sesji.
  
Numer CVECVE-2025-3448
Krytyczność6.1/10
CVSSAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:F/RC:C
OpisW System Diagnostics Manager (SDM) w środowisku B&R Automation Runtime w wersjach wcześniejszych niż 6.4 występują luki w zabezpieczeniach umożliwiające zdalnemu ataku typu cross-site scripting (XSS), które umożliwiają zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w kontekście sesji przeglądarki atakowanego użytkownika.
  
AktualizacjaTAK
Linkhttps://www.br-automation.com/fileadmin/SA25P003-178b6a20.pdf