Банк данных угроз безопасности информации
Федеральная служба по техническому и экспортному контролю
ФСТЭК России
Государственный научно-исследовательский испытательный институт проблем технической защиты информации
ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
Toggle navigation
Угрозы
Перечень угроз
Новый раздел угроз
Уязвимости
Список уязвимостей
Типовые уязвимости веб-приложений
Наиболее опасные уязвимости
Инфографика
Калькулятор CVSS V2
Калькулятор CVSS V3
Калькулятор CVSS V3.1
ScanOVAL
ScanOVAL для Linux
Тестирование обновлений
Документы
Термины
Регламент включения уязвимостей
Все документы
Обратная связь
Написать администратору
Электронная почта
Сообщить об уязвимости
Сообщить об угрозе
Обновления
Новости сайта
Список каналов (RSS, Atom)
Telegram
Участники
Организации
Исследователи
Рейтинг исследователей
Обучение
БДУ АСУ ТП
ФСТЭК России
Главная
Список уязвимостей
BDU:2024-04689
BDU:2024-04689: Уязвимость веб-интерфейса микропрограммного обеспечения устройств дистанционного управления освещением и энергопотреблением Schneider Electric Sage, позволяющая нарушителю вызвать отказ в обслуживании
Вид
Список
Плитка
Для печати
Основная информация
Подробнее
Описание уязвимости
Уязвимость веб-интерфейса микропрограммного обеспечения устройств дистанционного управления освещением и энергопотреблением Schneider Electric Sage связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного HTTP-запроса
Вендор
Schneider Electric
Наименование ПО
Sage 1410, Sage 1430, Sage 1450, Sage 2400, Sage 3030 Magnum, Sage 4400
Версия ПО
до C3414-500-S02K5_P9 (Sage 1410)
до C3414-500-S02K5_P9 (Sage 1430)
до C3414-500-S02K5_P9 (Sage 1450)
до C3414-500-S02K5_P9 (Sage 2400)
до C3414-500-S02K5_P9 (Sage 3030 Magnum)
до C3414-500-S02K5_P9 (Sage 4400)
Тип ПО
ПО программно-аппаратного средства АСУ ТП
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки
Чтение за границами буфера
Идентификатор типа ошибки
CWE-125
Класс уязвимости
Уязвимость кода
Дата выявления
11.06.2024
Базовый вектор уязвимости
CVSS 2.0:
AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 3.0:
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-163-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-163-05.pdf
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Способ эксплуатации
Манипулирование структурами данных
Способ устранения
Обновление программного обеспечения
Информация об устранении
Уязвимость устранена
Ссылки на источники
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-163-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-163-05.pdf
Идентификаторы других систем описаний уязвимостей
CVE:
CVE-2024-5560
Прочая информация
Данные уточняются
Последние изменения
18.09.2024
Уязвимость панели управления хостингом Webmin, связанная с некорректными разрешениями и привилегиями, позволяющая нарушителю обойти существующие ограничения безопасности
18.09.2024
Уязвимость компонента Device Handler кроссплатформенного гипервизора Xen ядра операционной системы Linux, позволяющая нарушителю повысить привилегии
18.09.2024
Уязвимость компонента x86 HVM Hypercall Handler кроссплатформенного гипервизора Xen ядра операционной системы Linux, позволяющая нарушителю получить вызвать отказ в обслуживании
18.09.2024
Уязвимость компонента _nc_wrap_entry() библиотеки для управления вводом-выводом на терминал ncurses, позволяющая нарушителю вызвать отказ в обслуживании
18.09.2024
Уязвимость инструмента удаленного управления Admin Center операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
18.09.2024
Уязвимость драйвера OLE DB для SQL Server операционных систем Windows, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю раскрыть защищаемую информацию
18.09.2024
Уязвимость сетевого средства Ivanti Cloud Services Appliance, существующая из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнить произвольный код
18.09.2024
Уязвимость пакета программ Microsoft SharePoint Server, связанная с десериализацией ненадежных данных, позволяющая нарушителю вызвать отказ в обслуживании
18.09.2024
Уязвимость программного средства управления конечными точками Ivanti EPM, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный код
18.09.2024
Уязвимость программного средства управления конечными точками Ivanti EPM, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный код