Множественные уязвимости в 3S CoDeSys

Дата публикации:
08.05.2014
Дата изменения:
08.05.2014
Всего просмотров:
655
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2012-6068
CVE-2012-6069
Вектор эксплуатации:
Локальная сеть
Воздействие:
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
3S CoDeSys Gateway Server 2.x
Уязвимые версии: 3S CoDeSys 2.3.x и 2.4.x, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности и выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки в механизме аутентификации ограничения доступа к устройству. Удаленный пользователь может выполнить определенные административные действия.

2. Уязвимость существует из-за недостаточной обработки входных данных в функциональности передачи данных прежде чем использовать доступ к файлам. Удаленный пользователь может в обход последовательности каталогов открыть, удалить или загрузить произвольные файлы.

URL производителя: http://www.3s-software.com/

Решение: Установите исправление с сайта производителя.

Ссылки: http://www.us-cert.gov/control_systems/pdf/ICSA-13-011-01.pdf
http://www.codesys.com/news-events/press-releases/detail/article/sicherheitsluecke-in-codesys-v23-laufzeitsystem.html

или введите имя

CAPTCHA