CRITICAL✓ PATCH🇬🇧 English

CVE-2024-45824

RCE w Rockwell Automation FactoryTalk View — łańcuch path traversal, command injection i XSS

CVSS 9.2v4.0pub. 2024-09-12upd. 2025-01-31

W produktach Rockwell Automation FactoryTalk View istnieje krytyczna podatność umożliwiająca zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Podatność jest szczególnie niebezpieczna, ponieważ jej wykorzystanie nie wymaga żadnych poświadczeń dostępu.

Pokaż oryginał (EN)

CVE-2024-45824 IMPACT A remote code vulnerability exists in the affected products. The vulnerability occurs when chained with Path Traversal, Command Injection, and XSS Vulnerabilities and allows for full unauthenticated remote code execution. The link in the mitigations section below contains patches to fix this issue.

🤖 Analiza AI
Jak działa

Podatność powstaje w wyniku połączenia (chaining) trzech odrębnych słabości: path traversal, command injection oraz XSS. Atakujący może zdalnie wywołać ten łańcuch podatności, co w efekcie prowadzi do pełnego, nieuwierzytelnionego wykonania dowolnego kodu na podatnym systemie. Żadna interakcja ze strony użytkownika nie jest wymagana do przeprowadzenia ataku.

Skutki

Atakujący uzyskuje pełną kontrolę nad podatnym systemem — może wykonywać dowolny kod zdalnie bez uwierzytelnienia, co zagraża poufności, integralności oraz dostępności danych i systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o poprawkach dostępne są pod adresem: https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1696.html

Kogo dotyczy

Rockwell Automation FactoryTalk View — wersje wskazane w referencjach producenta (advisory SD1696)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Rockwellautomation Factorytalk View

    APP
    Rockwellautomation
    12.0 – 14.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEXSSPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2023-2071CRITICAL9.8ten sam produkt

Rockwell Automation FactoryTalk View Machine Edition on the PanelView Plus, improperly verifies user’s input,...

CVE-2020-12029CRITICAL9.0ten sam produkt

All versions of FactoryTalk View SE do not properly validate input of filenames within a project directory. A ...

CVE-2025-9063HIGH7.0ten sam produkt

An authentication bypass security issue exists within FactoryTalk View Machine Edition Web Browser ActiveX co...

CVE-2025-9064HIGH8.7ten sam produkt

A path traversal security issue exists within FactoryTalk View Machine Edition, allowing unauthenticated attac...

CVE-2024-37365HIGH7.0ten sam produkt

A remote code execution vulnerability exists in the affected product. The vulnerability allows users to save p...