Rockwell Automation informuje o nowych podatnościach w swoich produktach. (P25-402)

utworzone przez | lis 12, 2025 | ICS

ProduktFactoryTalk® DataMosaix™ Private wer. Cloud 7.11, 8.00, 8.01
Numer CVECVE-2025-11084
Krytyczność6,8/10
CVSSAV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
OpisW chmurze prywatnej DataMosaix™ występuje luka bezpieczeństwa, umożliwiająca atakującym ominięcie uwierzytelniania wieloskładnikowego (MFA) podczas konfiguracji i uzyskanie prawidłowego pliku cookie tokena logowania bez znajomości hasła użytkownika. Luka ta występuje, gdy uwierzytelnianie wieloskładnikowe (MFA) jest włączone, ale nie zostanie ukończone w ciągu 7 dni.
  
Numer CVECVE-2025-11085
Krytyczność8,0/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
OpisW chmurze prywatnej DataMosaix™ występuje luka bezpieczeństwa, umożliwiająca trwały atak typu XSS. Luka ta może spowodować wykonanie złośliwego kodu JavaScript, co umożliwia przejęcie konta, kradzież danych uwierzytelniających lub przekierowanie do złośliwej witryny.
  
AktualizacjaTAK
Linkhttps://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1758.html
ProduktAADvance – Trusted SIS Workstation 2.00.00 – 2.00.04
Numer CVECVE-2024-48510
Krytyczność8.8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisLuka w zabezpieczeniach typu Directory Traversal w DotNetZip w wersji 1.16.0 i starszych umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pośrednictwem komponentu src/Zip.Shared/ZipEntry.Extract.cs. Do wykorzystania luki wymagane jest otwarcie przez ofiarę złośliwego pliku.
  
AktualizacjaTAK
Linkhttps://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1761.html