БДУ - Print

BDU:2023-00156: Уязвимость компонента setTaskEditorItem системы централизованного управления сетевыми устройствами и портами Advantech iView, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости	Уязвимость компонента setTaskEditorItem системы централизованного управления сетевыми устройствами и портами Advantech iView связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Вендор	Advantech Co., Ltd
Наименование ПО	Advantech iView
Версия ПО	до 5.7.04.6469
Тип ПО	Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Непринятие мер по защите структуры запроса SQL (атаки типа \"внедрение SQL\")
Идентификатор типа ошибки	CWE-89
Класс уязвимости	Уязвимость кода
Дата выявления	22.07.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://www.advantech.com/en/support/details/firmware?id=1-HIPU-183
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.zerodayinitiative.com/advisories/ZDI-CAN-16750 https://www.cisa.gov/uscert/ics/advisories/icsa-22-179-03 https://nvd.nist.gov/vuln/detail/CVE-2022-2135
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-2135 ZDI: ZDI-CAN-16750 ZDI: ZDI-22-919
Прочая информация	Данные уточняются