Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-05574: Уязвимость веб-интерфейса КТС «Маяк», связанная с отсутствием мер по очистке входных данных, позволяющая нарушителю внедрить произвольный веб-сценарий или HTML-код

Основная информация
Подробнее

Описание уязвимости

Уязвимость веб-интерфейса КТС «Маяк» связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, внедрить произвольный веб-сценарий или HTML-код

Вендор

ОАО «Нижегородское научно-производственное объединение им. М.В. Фрунзе»

Наименование ПО

КТС «Маяк»

Версия ПО

Тип ПО

Программное средство АСУ ТП

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux -

Тип ошибки

Непринятие мер по нейтрализации сценария в атрибутах на веб-странице

Идентификатор типа ошибки

CWE-83

Класс уязвимости

Уязвимость кода

Дата выявления

01.04.2020

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Возможные меры по устранению уязвимости

1 Использование политики защиты содержимого (CSP).
https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

2 Ограничение использование программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Инъекция

Способ устранения

Организационные меры

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Данные уточняются

Идентификаторы других систем описаний уязвимостей

Данные уточняются

Прочая информация

Данные уточняются

Последние изменения