9высокая
BDU:2025-06879
Уязвимость программного средства для настройки и параметризации контроллеров WAGO Device Manager, связанная с ошибками конфигурации политики CORS, позволяющая нарушителю получить несанкционированный доступ к файловой системе
Опубликовано: 2025-06-18
Описание
Уязвимость программного средства для настройки и параметризации контроллеров WAGO Device Manager связана с ошибками конфигурации политики CORS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к файловой системе путем отправки специально сформированных запросов
Затрагиваемое ПО и версии
WAGO Compact Controller CC100 (до 04.07.01 (FW29))Edge Controller 0752-8303/8000-0002 (до 04.07.01 (FW29))Edge Controller 0752-8303/8000-0002 (до 04.07.01 (70))WAGO Compact Controller CC100 (до 04.07.01 (70))PFC100 G1 0750-810x (до 3.10.11 (FW22 Patch 2))PFC100 G1 0750-810x (до 03.10.11 (70))PFC100 G2 0750-811x (до 04.07.01 (FW29))PFC100 G2 0750-811x (до 04.07.01 (70))PFC200 G1 750-820x (до 3.10.11 (FW22 Patch 2))PFC200 G1 750-820x (до 03.10.11 (70))PFC200 G2 750-821 (до 04.07.01 (FW29))PFC200 G2 750-821 (до 04.07.01 (70))TP600 0762-420x/8000-000x (до 04.07.01 (FW29)TP600 0762-420x/8000-000x (до 04.07.01 (70))TP600 0762-430x/8000-000x (до 04.07.01 (FW29))TP600 0762-430x/8000-000x (до 04.07.01 (70))TP600 0762-520x/8000-000x (до 04.07.01 (FW29))TP600 0762-520x/8000-000x (до 04.07.01 (70))TP600 0762-530x/8000-000x (до 04.07.01 (FW29))TP600 0762-530x/8000-000x (до 04.07.01 (70))TP600 0762-620x/8000-000x (до 04.07.01 (FW29))TP600 0762-620x/8000-000x (до 04.07.01 (70))TP600 0762-630x/8000-000x (до 04.07.01 (FW29))TP600 0762-630x/8000-000x (до 04.07.01 (70))
Способ устранения
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование межсетевого экрана уровня приложений (WAF) для фильтрации HTTP-трафика;
- сегментирование сети для ограничения доступа к уязвимому программному обеспечению из других подсетей;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа к платформе из внешних сетей (Интернет).
Использование рекомендаций:
https://certvde.com/en/advisories/VDE-2025-018/
Оценка CVSS
| Балл | 9 — высокая опасность |
Источники и патчи