Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-05061: Уязвимость микропрограммного обеспечения веб-панелей для управления и мониторинга процессов в промышленных системах PHOENIX CONTACTs WP 6xxx, существующая из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость микропрограммного обеспечения веб-панелей для управления и мониторинга процессов в промышленных системах PHOENIX CONTACTs WP 6xxx существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально созданного запроса POST
Вендор	Phoenix Contact GmbH & Co. KG
Наименование ПО	WP 6070-WVPS, WP 6101-WXPS, WP 6121-WXPS, WP 6156-WHPS, WP 6185-WHPS, WP 6215-WHPS
Версия ПО	до 4.0.10 (WP 6070-WVPS) до 4.0.10 (WP 6101-WXPS) до 4.0.10 (WP 6121-WXPS) до 4.0.10 (WP 6156-WHPS) до 4.0.10 (WP 6185-WHPS) до 4.0.10 (WP 6215-WHPS)
Тип ПО	Средство АСУ ТП, ПО программно-аппаратного средства АСУ ТП
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы (Внедрение в команду операционной системы)
Идентификатор типа ошибки	CWE-78
Класс уязвимости	Уязвимость кода
Дата выявления	08.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	становка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - ограничение подключения к программному продукту из сетей общего пользования (Интернет); - сегментирование сети с целью ограничения доступа к промышленному сегменту из других подсетей; - применение средств межсетевого экранирования уровня веб-приложений. - использование виртуальных частных сетей для организации удаленного доступа (VPN). Использование рекомендаций: https://cert.vde.com/en/advisories/VDE-2023-018/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://cert.vde.com/en/advisories/VDE-2023-018/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-37861
Прочая информация	Данные уточняются

Последние изменения