CRITICAL🇬🇧 English

CVE-2024-3980

Path Traversal w MicroSCADA Pro/X SYS600 — dostęp do plików systemowych

CVSS 9.9v3.1pub. 2024-08-27upd. 2024-10-30

Podatność typu path traversal w produktach MicroSCADA Pro SYS600 i MicroSCADA X SYS600 firmy Hitachi Energy umożliwia uwierzytelnionemu atakującemu manipulowanie ścieżkami i nazwami plików w operacjach systemu plików. Może to prowadzić do nieautoryzowanego odczytu lub modyfikacji plików krytycznych dla aplikacji i systemu.

Pokaż oryginał (EN)

The MicroSCADA Pro/X SYS600 product allows an authenticated user input to control or influence paths or file names that are used in filesystem operations. If exploited the vulnerability allows the attacker to access or modify system files or other files that are critical to the application.

🤖 Analiza AI
Jak działa

Aplikacja nie waliduje w sposób wystarczający danych wejściowych dostarczanych przez uwierzytelnionego użytkownika, które kontrolują ścieżki lub nazwy plików używane w operacjach systemu plików (CWE-22). Atakujący może spreparować wejście zawierające sekwencje path traversal (np. '../'), aby wyjść poza dozwolony katalog. W efekcie możliwy jest dostęp do dowolnych plików systemu operacyjnego lub plików konfiguracyjnych aplikacji.

Skutki

Atakujący z dostępem do konta użytkownika może odczytywać lub modyfikować pliki systemowe oraz pliki krytyczne dla działania aplikacji SCADA, co może skutkować naruszeniem poufności, integralności danych, a w środowisku OT/ICS potencjalnie zakłóceniem procesów przemysłowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://publisher.hitachienergy.com/preview?DocumentID=8DBD000160&LanguageCode=en&DocumentPartId=&Action=Launch). Zaleca się również ograniczenie dostępu do systemu wyłącznie do zaufanych użytkowników oraz monitorowanie operacji na plikach systemowych.

Kogo dotyczy

Hitachi Energy MicroSCADA Pro SYS600 oraz MicroSCADA X SYS600 — konkretne wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Hitachienergy Microscada Pro Sys600

    APP
    Hitachienergy
    9.4
  • Hitachienergy Microscada X Sys600

    APP
    Hitachienergy
    10.0 – 10.6 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2024-4872CRITICAL9.9PL ✓ten sam produkt

Injection w walidacji zapytań MicroSCADA Pro/X SYS600 — nieautoryzowany zapis danych

CVE-2019-5620CRITICAL9.8ten sam produkt

ABB MicroSCADA Pro SYS600 version 9.3 suffers from an instance of CWE-306: Missing Authentication for Critical...

CVE-2025-39203HIGH7.1ten sam produkt

A vulnerability exists in the IEC 61850 of the MicroSCADA X SYS600 product. An IEC 61850-8 crafted message con...

CVE-2025-39202HIGH8.3ten sam produkt

A vulnerability exists in in the Monitor Pro interface of the MicroSCADA X SYS600 product. An authenticated us...

CVE-2025-39204HIGH8.5ten sam produkt

A vulnerability exists in the Web interface of the MicroSCADA X SYS600 product. The filtering query in the Web...

CVE-2024-3980 — Path Traversal w MicroSCADA Pro/X SYS600 — dostęp do plików systemowych — CRITICAL 9.9 | CVEbaza.pl