СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
11.12.2024
#ИБ

Уязвимость BDU:2025-00557

Уязвимость BDU:2025-00557

Идентификатор: BDU:2025-00557.

Наименование уязвимости: Уязвимость программного обеспечения для создания проектов автоматизации Schneider Electric Web Designer сетевых модулей BMXNOE0110(H), BMENOC0311(C), BMENOC0321(C) и BMXNOR0200H, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.

Описание уязвимости: Уязвимость программного обеспечения для создания проектов автоматизации Schneider Electric Web Designer сетевых модулей BMXNOE0110(H), BMENOC0311(C), BMENOC0321(C) и BMXNOR0200H связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости позволяет нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Уязвимое ПО: Средство АСУ ТП, Программное средство АСУ ТП Schneider Electric Web Designer — | Средство АСУ ТП, Программное средство АСУ ТП Schneider Electric Web Designer — | Средство АСУ ТП, Программное средство АСУ ТП Schneider Electric Web Designer — | Средство АСУ ТП, Программное средство АСУ ТП Schneider Electric Web Designer — |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 11.12.2024.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 4.0 составляет 8,4)

Возможные меры по устранению:
Использование рекомендаций:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-04.pdf

Компенсирующие меры:
— использование шифрования файла проекта (файл конфигурации XML) при сохранении и ограничение доступа только доверенным пользователям;
— использование безопасных протоколов связи при обмене файлов по сети;
— ограничение загрузки файлов только из доверенных источников;
— вычисление хэш файлов проекта и регулярная проверка его целостности перед использованием..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2024-12476.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-04.pdf
https://vuldb.com/?id.292438

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: