Podatność CVE-2017-6026


Publikacja: 2017-06-29   Modyfikacja: 2017-06-30

Opis:
A Use of Insufficiently Random Values issue was discovered in Schneider Electric Modicon PLCs Modicon M241, firmware versions prior to Version 4.0.5.11, and Modicon M251, firmware versions prior to Version 4.0.5.11. The session numbers generated by the web application are lacking randomization and are shared between several users. This may allow a current session to be compromised.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Low
Schneider Electric PLC Authentication Bypass
Deneut Tijl
01.12.2018

Typ:

CWE-330

(Use of Insufficiently Random Values)

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6.4/10
4.9/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Brak
Affected software
Schneider-electric -> Modicon m251 firmware 
Schneider-electric -> Modicon m241 firmware 

 Referencje:
http://www.securityfocus.com/bid/97254
https://ics-cert.us-cert.gov/advisories/ICSA-17-089-02
https://www.exploit-db.com/exploits/45918/

Copyright 2024, cxsecurity.com

 

Back to Top