CRITICAL🇬🇧 English

CVE-2025-3450

B&R Automation Runtime – podatność DoS w komponencie SDM (CVE-2025-3450)

CVSS 9.3v4.0pub. 2025-10-07upd. 2026-04-15

Podatność typu Improper Resource Locking w komponencie SDM systemu B&R Automation Runtime umożliwia nieuwierzytelnionemu atakującemu zdalnie usunięcie danych i wywołanie stanu odmowy usługi (DoS). Krytyczna ocena CVSS 9.3 wynika z braku wymagań uwierzytelnienia oraz szerokiego wpływu na integralność i dostępność systemu.

Pokaż oryginał (EN)

An Improper Resource Locking vulnerability in the SDM component of B&R Automation Runtime versions before 6.3 and before Q4.93 may allow an unauthenticated network-based attacker to delete data causing denial of service conditions.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowym blokowaniu zasobów (CWE-413) w komponencie SDM środowiska B&R Automation Runtime. Atakujący może za pośrednictwem sieci, bez żadnego uwierzytelnienia, wysłać odpowiednio spreparowane żądania, które doprowadzą do usunięcia danych. Brak właściwego mechanizmu blokowania zasobów powoduje, że operacje na danych nie są odpowiednio chronione przed równoczesnym lub nieuprawnionym dostępem z sieci.

Skutki

Atakujący może usunąć dane systemowe, co skutkuje przerwaniem działania usług i wywołaniem stanu odmowy usługi (DoS). Podatność wpływa również na integralność danych w systemach nadrzędnych i podrzędnych powiązanych ze środowiskiem automatyki.

Mitygacja

Należy zaktualizować B&R Automation Runtime do wersji 6.3 lub nowszej albo do wersji Q4.93 lub nowszej. Szczegółowe informacje o dostępnych patchach dostępne są w poradniku bezpieczeństwa producenta: https://www.br-automation.com/fileadmin/SA25P002-f6a69e61.pdf

Kogo dotyczy

B&R Automation Runtime w wersjach wcześniejszych niż 6.3 oraz wcześniejszych niż Q4.93

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje