Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-01216: Уязвимость промышленных систем удаленного доступа mymbCONNECT24 и mbCONNECT24, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку

Описание уязвимости	Уязвимость промышленных систем удаленного доступа mymbCONNECT24 и mbCONNECT24 связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить SSRF-атаку в результате сканирования открытых портов
Вендор	MB connect line GmbH
Наименование ПО	mymbCONNECT24, mbCONNECT24
Версия ПО	до 2.6.2 включительно (mymbCONNECT24) до 2.6.2 включительно (mbCONNECT24)
Тип ПО	Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Серверная фальсификация запросов
Идентификатор типа ошибки	CWE-918
Класс уязвимости	Уязвимость кода
Дата выявления	02.03.2021
Базовый вектор уязвимости	AV:N/AC:L/Au:N/C:P/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://cert.vde.com/de-de/advisories/vde-2021-003
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://cxsecurity.com/cveshow/CVE-2020-12529/ https://nvd.nist.gov/vuln/detail/CVE-2020-12529 https://cert.vde.com/de-de/advisories/vde-2021-003
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-12529
Прочая информация	Данные уточняются

Последние изменения