BDU:2023-05847: Уязвимость программного обеспечения OPC-серверов Kepware KEPServerEX и ThingWorkx Kepware Server, связанная с неконтролируемым элементом пути поиска, позволяющая нарушителю переупаковать установщик с произвольной библиотекой DLL

Описание уязвимости Уязвимость программного обеспечения OPC-серверов Kepware KEPServerEX и ThingWorkx Kepware Server связана с неконтролируемым элементом пути поиска. Эксплуатация уязвимости может позволить нарушителю переупаковать установщик с произвольной библиотекой DLL
Вендор PTC
Наименование ПО Kepware KEPServerEX, ThingWorkx Kepware Server
Версия ПО от 6.0.2107.0 до 6.14 (Kepware KEPServerEX), от 8.0 до 6.14 (ThingWorkx Kepware Server)
Тип ПО Средство АСУ ТП, Программное средство АСУ ТП
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Неконтролируемый элемент пути поиска
Идентификатор типа ошибки CWE-427
Класс уязвимости Уязвимость архитектуры
Дата выявления 31.08.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:L/AC:H/Au:M/C:C/I:C/A:C
  • CVSS 3.0: AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,9) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- ограничение доступа к оборудованию из общедоступных сетей (Интернет);
- использование средств межсетевого экранирования;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Данные уточняются
Информация об устранении Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются