ГлавнаяБаза уязвимостей БДУ → BDU:2016-00296
10критическая

BDU:2016-00296

Уязвимость микропрограммного обеспечения программируемых логических контроллеров Honeywell Excel Web XL1000C50 52 I/O, XL1000C100 104 I/O, XL1000C500 300 I/O, XL1000C1000 600 I/O, XL1000C50U 52 I/O UUKL, XL1000C100U 104 I/O UUKL, XL1000C500U 300 I/O UUKL, XL1000C1000U 600 I/O UUKL, позволяющая нарушителю читать файлы при веб-доступе и получить привилегии администратора системы
Опубликовано: 2016-02-08
Описание

Уязвимость FTP-сервера микропрограммного обеспечения программируемых логических контроллеров Honeywell Excel Web XL1000C50 52 I/O, XL1000C100 104 I/O, XL1000C500 300 I/O, XL1000C1000 600 I/O, XL1000C50U 52 I/O UUKL, XL1000C100U 104 I/O UUKL, XL1000C500U 300 I/O UUKL, XL1000C1000U 600 I/O UUKL существует из-за недостаточного ограничения имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, читать файлы при веб-доступе и получить привилегии администратора системы через специально сформированное имя пути

Затрагиваемое ПО и версии
Honeywell Excel Web XL1000C500U 300 I/O UUKL (до 2.04.01)Honeywell Excel Web XL1000C1000 600 I/O (до 2.04.01)Honeywell Excel Web XL1000C1000U 600 I/O UUKL (до 2.04.01)Honeywell Excel Web XL1000C50 52 I/O (до 2.04.01)Honeywell Excel Web XL1000C500 300 I/O (до 2.04.01)Honeywell Excel Web XL1000C50U 52 I/O UUKL (до 2.04.01)Honeywell Excel Web XL1000C100U 104 I/O UUKL (до 2.04.01)Honeywell Excel Web XL1000C100 104 I/O (до 2.04.01)
Способ устранения

Обновление микропрограммного обеспечения до версии 2.04.01 или более новой

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://ics-cert.us-cert.gov/advisories/ICSA-15-076-02https://www.outpost24.com/hacking-industrial-control-systems-case-study-falcon/http://seclists.org/fulldisclosure/2015/Apr/79
Проверьте безопасность своего сайта и почты → Полная проверка домена