BDU:2020-05574: Уязвимость веб-интерфейса КТС «Маяк», связанная с отсутствием мер по очистке входных данных, позволяющая нарушителю внедрить произвольный веб-сценарий или HTML-код

Описание уязвимости Уязвимость веб-интерфейса КТС «Маяк» связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, внедрить произвольный веб-сценарий или HTML-код
Вендор ОАО «Нижегородское научно-производственное объединение им. М.В. Фрунзе»
Наименование ПО КТС «Маяк»
Версия ПО 2.0, 2.1
Тип ПО Программное средство АСУ ТП
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Linux - Не указана
Тип ошибки Непринятие мер по нейтрализации сценария в атрибутах на веб-странице
Идентификатор типа ошибки CWE-83
Класс уязвимости Уязвимость кода
Дата выявления 01.04.2020
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N
  • CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости
1 Использование политики защиты содержимого (CSP).
https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP


2 Ограничение использование программного средства
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Организационные меры
Информация об устранении Информация об устранении отсутствует
Ссылки на источники
Данные уточняются
Идентификаторы других систем описаний уязвимостей
Данные уточняются
Прочая информация Данные уточняются