BDU:2019-03319: Уязвимость OPC-сервера Exaopc, программного пакета обработки статистической информации Exaplog, системы управления производственными данными Exaquantum, программного обеспечения для анализа данных Exaquantum/Batch, набора программных пакетов для многопараметрической оптимизации и управления Exasmoc, программного средства оценки качества Exarqe, программного обеспечения для сохранения данных с дополнительными характеристиками GA10, программного средства составления отчетов о производительности InsightSuiteAE, существующая из-за того, что путь к исполняемому файлу службы не заключен в кавычки и содержит пробелы, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код

Описание уязвимости Уязвимость OPC-сервера Exaopc, программного пакета обработки статистической информации Exaplog, системы управления производственными данными Exaquantum, программного обеспечения для анализа данных Exaquantum/Batch, набора программных пакетов для многопараметрической оптимизации и управления Exasmoc, программного средства оценки качества Exarqe, программного обеспечения для сохранения данных с дополнительными характеристиками GA10, программного средства составления отчетов о производительности InsightSuiteAE существует из-за того, что путь к исполняемому файлу службы не заключен в кавычки и содержит пробелы. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии и выполнить произвольный код
Вендор Yokogawa Electric Corporation
Наименование ПО Exaopc, Exaplog, Exaquantum, Exaquantum/Batch, Exarqe, Exasmoc, GA10, InsightSuiteAE
Версия ПО
  • от R1.01.00 до R3.77.00 включительно (Exaopc)
  • от R1.10.00 до R3.40.00 включительно (Exaplog)
  • от R1.10.00 до R3.02.00 включительно (Exaquantum)
  • от R1.01.00 до R2.50.40 включительно (Exaquantum/Batch)
  • - (Exarqe)
  • - (Exasmoc)
  • от R1.01.01 до R3.05.01 включительно (GA10)
  • от R1.01.00 до R1.06.00 включительно (InsightSuiteAE)
Тип ПО Программное средство АСУ ТП
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Не заключенные в кавычки элемент или путь поиска
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 27.09.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,4)
Возможные меры по устранению уязвимости
Использование рекомендаций:

https://web-material3.yokogawa.com/1/28032/files/YSAR-19-0003-E.pdf
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение авторизации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -
Последние изменения