Уязвимость BDU:2019-04187

Идентификатор: BDU:2019-04187.

Наименование уязвимости: Уязвимость программ для программирования логических контроллеров SoMachine и SoMove, связанная с использованием ненадежного пути поиска, позволяющая нарушителю загрузить вредоносную DLL библиотеку и выполнить произвольный код.

Описание уязвимости: Уязвимость программ для программирования логических контроллеров SoMachine и SoMove связана с использованием ненадежного пути поиска. Эксплуатация уязвимости может позволить нарушителю загрузить вредоносную DLL библиотеку и выполнить произвольный код
Уязвимое ПО: ПО программно-аппаратного средства АСУ ТП Schneider Electric SoMachine HVAC до v2.4.1 включительно | ПО программно-аппаратного средства АСУ ТП Schneider Electric SoMove FDT до V2.7.5 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 17.09.2019.
CVSS 2.0: AV:L/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)

Возможные меры по устранению:
Обновление программного обеспечения:
Для SoMachine HVAC до EcoStruxure Machine Expert HVAC version 1.1.0:
https://www.schneider-electric.com/en/download/document/SoMachine%20HVAC%20-%20Programming%20Software%20for%20Modicon%20M171-M172%20Logic%20Controllers/

Для SoMove FDT до V2.7.6:
https://www.schneider-electric.com/en/download/document/SoMove_FDT/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-6826. SEVD-2019-225-04.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/CVE-2019-6826
https://www.schneider-electric.com/en/download/document/SEVD-2019-225-04/