ГлавнаяБаза уязвимостей БДУ → BDU:2024-04810
10критическая

BDU:2024-04810

Уязвимость компонента ThinServer платформы для централизованного управления приложениями Rockwell Automation ThinManager, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-06-27
Описание

Уязвимость компонента ThinServer платформы для централизованного управления приложениями Rockwell Automation ThinManager связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путём отправки специально сформированного SQL-запроса

Затрагиваемое ПО и версии
ThinManager (от 11.1.0 до 11.1.8)ThinManager (от 11.2.0 до 11.2.9)ThinManager (от 12.0.0 до 12.0.7)ThinManager (от 12.1.0 до 12.1.8)ThinManager (от 13.0.0 до 13.0.5)ThinManager (от 13.1.0 до 13.1.3)ThinManager (от 13.2.0 до 13.2.2)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа к программному средству из общедоступных сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).;
- ограничение удалённого доступа к 2031 TCP-порту;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа.

Использование рекомендаций производителя:
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1677.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1677.html
Проверьте безопасность своего сайта и почты → Полная проверка домена