Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-05837: Уязвимость программного обеспечения для управления устройствами защиты и мониторинга энергосистем SEL-5036 acSELerator Bay Screen Builder, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю получить доступ к конфиденциальной информации

Описание уязвимости	Уязвимость программного обеспечения для управления устройствами защиты и мониторинга энергосистем SEL-5036 acSELerator Bay Screen Builder, связанная с недостатками ограничения имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации
Вендор	Schweitzer Engineering Laboratories, Inc.
Наименование ПО	SEL-5036 acSELerator Bay Screen Builder
Версия ПО	до 1.0.49152.778
Тип ПО	Средство АСУ ТП, Программное средство АСУ ТП
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Неверное ограничение имени пути к каталогу с ограниченным доступом («Обход пути»)
Идентификатор типа ошибки	CWE-22
Класс уязвимости	Уязвимость кода
Дата выявления	31.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)
Возможные меры по устранению уязвимости	Компенсирующие меры: - использование средств межсетевого экранирования для ограничения возможности удаленного доступа к программному обеспечению; - использование антивирусного программного обеспечения для проверки файлов и электронных писем, полученных из недоверенных источников; - ограничение подключения к программному обеспечению из сетей общего пользования (Интернет); - использование виртуальных частных сетей для организации удаленного доступа (VPN). Использование рекомендаций: https://selinc.com/support/security-notifications/external-reports/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://selinc.com/support/security-notifications/external-reports/ https://vuldb.com/?id.238461
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-31167
Прочая информация	Данные уточняются

Последние изменения