Множественные уязвимости в Omron NS Series HMI

Дата публикации:
08.09.2014
Дата изменения:
08.09.2014
Всего просмотров:
817
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:ND/RC:C) = Base:5/Temporal:0
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:ND/RC:C) = Base:5/Temporal:0
CVE ID:
CVE-2014-2369
CVE-2014-2370
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Omron NS Series
Уязвимые версии:
Omron NS5 HMI версии с 8.1xx по 8.68x
Omron NS8 HMI версии с 8.1xx по 8.68x
Omron NS10 HMI версии с 8.1xx по 8.68x
Omron NS12 HMI версии с 8.1xx по 8.68x
Omron NS15 HMI версии с 8.1xx по 8.68x

Описание:
Уязвимости позволяют удаленному пользователю осуществить XSS-нападение и CSRF-атаку.

1. Уязвимость существует из-за того, что приложение позволяет выполнить определенные действия при помощи HTTP-запросов без проведения соответствующей проверки. Удаленный пользователь может совершить CSRF-нападение и, к примеру, выполнить произвольные команды OS.

2. Уязвимость существует из-за неизвестной ошибки при обработке входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://industrial.omron.us/en/products/catalogue/automation_systems/hmi/default.html

Решение: Установите последнюю версию с сайта производителя.



Ссылки: https://ics-cert.us-cert.gov/advisories/ICSA-14-203-01