Security Lab

Множественные уязвимости в 3S CoDeSys

Дата публикации:08.05.2014
Всего просмотров:980
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:2
CVSSv2 рейтинг: 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
CVE ID: CVE-2012-6068
CVE-2012-6069
Вектор эксплуатации: Локальная сеть
Воздействие: Обход ограничений безопасности
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: 3S CoDeSys Gateway Server 2.x
Уязвимые версии: 3S CoDeSys 2.3.x и 2.4.x, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности и выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки в механизме аутентификации ограничения доступа к устройству. Удаленный пользователь может выполнить определенные административные действия.

2. Уязвимость существует из-за недостаточной обработки входных данных в функциональности передачи данных прежде чем использовать доступ к файлам. Удаленный пользователь может в обход последовательности каталогов открыть, удалить или загрузить произвольные файлы.

URL производителя: http://www.3s-software.com/

Решение: Установите исправление с сайта производителя.

Ссылки: http://www.us-cert.gov/control_systems/pdf/ICSA-13-011-01.pdf
http://www.codesys.com/news-events/press-releases/detail/article/sicherheitsluecke-in-codesys-v23-laufzeitsystem.html