Уязвимость BDU:2019-02551

Идентификатор: BDU:2019-02551.

Наименование уязвимости: Уязвимость системы управления производственными и жилыми объектами U.motion Builder, связанная с некорректной обработкой специальных символов в SQL-запросе, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость системы управления производственными и жилыми объектами U.motion Builder связана с некорректной обработкой специальных символов в SQL-запросе. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально сформированного запроса
Уязвимое ПО: Программное средство АСУ ТП Schneider Electric U.motion Builder 1.3.4 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 12.03.2019.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)

Возможные меры по устранению:
Использование сторонних средств межсетевого экранирования.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2018-7841.
Прочая информация: —
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2019-071-02-Umotion-Builder-V1.1.pdf&p_Doc_Ref=SEVD-2019-071-02
https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
http://packetstormsecurity.com/files/152862/Schneider-Electric-U.Motion-Builder-1.3.4-Command-Injection.html