CWE-22: Istnieje luka w zabezpieczeniach polegająca na nieprawidłowym ograniczeniu nazwy ścieżki do katalogu zastrzeżonego („Przechodzenie ścieżki”), która może spowodować zdalne wykonanie kodu, gdy uwierzytelniony użytkownik wykona zapisany plik projektu, który został zmodyfikowany przez złośliwego użytkownika.
EcoStruxure Foxboro DCS Core Control Services: wersje 9.8 i wcześniejsze
Numer CVE
CVE-2024-5679
Krytyczność
7.1/10
CVSS
AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Opis
Istnieje luka w zabezpieczeniach umożliwiająca zapis poza zakresem, która może spowodować lokalną odmowę usługi lub wyciek pamięci jądra, gdy złośliwy aktor z dostępem użytkownika lokalnego tworzy skrypt/program przy użyciu wywołania IOCTL w sterowniku Foxboro.sys.
Numer CVE
CVE-2024-5680
Krytyczność
7.1/10
CVSS
AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Opis
Istnieje nieprawidłowa walidacja luki w zabezpieczeniach polegająca na indeksie tablicy, która może spowodować lokalną odmowę usługi, gdy złośliwy aktor z dostępem użytkownika lokalnego tworzy skrypt/program przy użyciu wywołania IOCTL w sterowniku Foxboro.sys.
Numer CVE
CVE-2024-5681
Krytyczność
7,8/10
CVSS
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis
Istnieje luka w zabezpieczeniach związana z nieprawidłową walidacją danych wejściowych, która może spowodować lokalną odmowę usługi, eskalację uprawnień i potencjalnie wykonanie jądra, gdy złośliwy aktor z dostępem użytkownika lokalnego utworzy skrypt/program przy użyciu wywołania IOCTL w sterowniku Foxboro.sys.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny