Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-05962: Уязвимость платформы управления жизненным циклом приложений для разработки продуктов и программного обеспечения PTC Codebeamer, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость платформы управления жизненным циклом приложений для разработки продуктов и программного обеспечения PTC Codebeamer существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольный код
Вендор	PTC
Наименование ПО	Codebeamer
Версия ПО	от 21.09 до 21.09-SP14 от 22.04 до 22.04-SP6 от 22.10 до 22.10-SP8
Тип ПО	Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Непринятие мер по защите структуры веб-страницы (или \«Межсайтовая сценарная атака\»)
Идентификатор типа ошибки	CWE-79
Класс уязвимости	Уязвимость кода
Дата выявления	29.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств межсетевого экранирования для ограничения возможности удаленного доступа к программному обеспечению; - использование антивирусного программного обеспечения для проверки файлов и электронных писем, полученных из недоверенных источников; - ограничение подключения к программному обеспечению из сетей общего пользования (Интернет); - использование виртуальных частных сетей для организации удаленного доступа (VPN). Использование рекомендаций: https://intland.com/codebeamer-download/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.cisa.gov/news-events/ics-advisories/icsa-23-241-01 https://www.cybersecurity-help.cz/vdb/SB2023083003 https://vuldb.com/?id.238271 https://intland.com/codebeamer-download/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-4296 ICSA: ICSA-23-241-01
Прочая информация	Данные уточняются

Последние изменения