BDU:2023-04964: Уязвимость веб-сервера программируемого логического контроллера ioLogik, связанная с некорректным ограничением визуализированных слоев пользовательского интерфейса, позволяющая нарушителю оказать воздействие на целостность защищаемой информации

Описание уязвимости Уязвимость веб-сервера программируемого логического контроллера ioLogik связана с некорректным ограничением визуализированных слоев пользовательского интерфейса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации
Вендор Moxa Inc.
Наименование ПО ioLogik E4200
Версия ПО до 1.6 включительно
Тип ПО ПО программно-аппаратного средства
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Некорректное ограничение визуализируемых слоев пользовательского интерфейса
Идентификатор типа ошибки CWE-1021
Класс уязвимости Уязвимость кода
Дата выявления 24.08.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:P/A:N
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-230310-iologik-4000-series-multiple-web-server-vulnerabilities-and-improper-access-control-vulnerability

Компенсирующие меры:
- ограничение подключения к программному продукту из сетей общего пользования (Интернет);
- сегментирование сети с целью ограничения доступа к промышленному сегменту из других подсетей;
- применение средств межсетевого экранирования уровня веб-приложений.
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются