СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
13.09.2024

Уязвимость BDU:2025-02942

Уязвимость BDU:2025-02942

Идентификатор: BDU:2025-02942.

Наименование уязвимости: Уязвимость веб-службы системы визуализации и управления промышленными процессами mySCADA myPRO Runtime и платформы управления mySCADA myPRO Manager, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость веб-службы системы визуализации и управления промышленными процессами mySCADA myPRO Runtime и платформы управления mySCADA myPRO Manager связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированных POST-запросов через порт TCP 34022
Уязвимое ПО: Прикладное ПО информационных систем mySCADA Technologies s.r.o. myPRO Runtime до 9.2.1 | Прикладное ПО информационных систем mySCADA Technologies s.r.o. myPRO Manager до 1.3 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 13.09.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Критический уровень опасности (оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению:
Использование рекомендаций:
Обновление программного обеспечения mySCADA PRO Manager до версии 1.3 или выше и программного обеспечения mySCADA PRO Runtime до версии 9.2.1 или выше:
https://www.myscada.org/download/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-20061. ICSA-25-023-01. ZDI-25-088. ZDI-CAN-24784.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-01
https://vuldb.com/?id.293169
https://www.zerodayinitiative.com/advisories/ZDI-25-088/
https://ogma.in/blog/cve-2025-20061-addressing-critical-os-command-injection-vulnerability-in-myscada-mypro

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: