События

В HMI WAGO исправлены множественные уязвимости

Немецкий производитель телекоммуникационного и электрощитового оборудования устранил ряд уязвимостей в web-панелях серии e!DISPLAY 7300T, совместная эксплуатация которых позволяла получить контроль над уязвимыми устройствами.

В частности, компания исправила несколько XSS-уязвимостей (CVE-2018-12981), в том числе «отраженных» (reflected XSS) и «хранимых» (stored XSS). Кроме того, устранены уязвимости типа unrestricted file upload (загрузка произвольных файлов) и file path manipulation (манипуляция путями файла), а также incorrect default permissions (некорректный профиль разрешения). Последние две проблемы получили идентификаторы CVE-2018-12980 и CVE-2018-12979 соответственно.

С помощью «отраженных» XSS-уязвимостей неавторизованный атакующий может выполнить произвольный код в контексте текущего пользователя и перехватить сеанс, заставив жертву перейти по специально сформированной ссылке. В свою очередь, «хранимая» XSS-уязвимость может быть проэксплуатирована только авторизованным злоумышленником, причем исполнение вредоносного кода происходит при посещении жертвой страницы PLC List в web-интерфейсе. Воспользовавшись уязвимостями CVE-2018-12980 и CVE-2018-12979, атакующий может загрузить произвольные файлы в корневой каталог и перезаписать index.html.

Вышеописанным проблемам подвержены модели e!DISPLAY 7300T 762-3000, 762-3001, 762-3002 и 762-3003 с прошивкой v01. Вендор устранил уязвимости с выпуском версии прошивки v02.

Источник

Автор: Сергей Куприянов
12.07.2018 (17:59)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.