Проблемы позволяют повысить привилегии и извлечь информацию из системы.
В решении General Electric (GE) MDS PulseNET обнаружен ряд уязвимостей, совместная эксплуатация которых позволяет повысить привилегии и извлечь информацию из системы. Проблемы затрагивают версии PulseNET 3.2.1 и ниже, а также PulseNET Enterprise (версия 3.2.1 и более ранние).
Первая уязвимость (CVE-2018-10611) заключается в том, что неавторизованный атакующий может использовать порт RMI (Java Remote Method Invocation) для запуска приложения или выполнить произвольный код через Web Services. Вторая уязвимость (CVE-2018-10613) предоставляет возможность осуществить XXE-атаку и извлечь данные из системы на базе Windows. Наконец, третья уязвимость (CVE-2018-10615) позволяет извлечь или удалить файлы на системе.
General Electric устранила вышеописанные уязвимости в версии PulseNET Version 4.1. Соответствующие обновления доступны на сайте производителя.
General Electric (GE) MDS PulseNET – система для мониторинга устройств и сетей промышленной связи, развернутых в секторах энергетики, очистки воды и сточных вод во всем мире.
Сбалансированная диета для серого вещества