CRITICAL🇬🇧 English

CVE-2025-52579

Emerson ValveLink: przechowywanie wrażliwych danych w pamięci jako czysty tekst

CVSS 9.3v4.0pub. 2025-07-11upd. 2026-04-15

Produkty Emerson ValveLink przechowują wrażliwe informacje w pamięci operacyjnej w postaci niezaszyfrowanego tekstu (cleartext). Stanowi to poważne zagrożenie, ponieważ dane te mogą zostać ujawnione poprzez zapis na dysk, zrzut pamięci (core dump) lub pozostać dostępne po awarii aplikacji.

Pokaż oryginał (EN)

Emerson ValveLink Products store sensitive information in cleartext in memory. The sensitive memory might be saved to disk, stored in a core dump, or remain uncleared if the product crashes, or if the programmer does not properly clear the memory before freeing it.

🤖 Analiza AI
Jak działa

Podatność (CWE-316) polega na tym, że wrażliwe dane — takie jak hasła lub klucze uwierzytelniające — są przechowywane w pamięci procesu bez szyfrowania. W przypadku awarii produktu lub nieprawidłowego zwolnienia pamięci przez programistę dane te mogą trafić na dysk w postaci core dump lub pliku wymiany. Atakujący lub nieautoryzowany użytkownik mający dostęp do systemu plików bądź pamięci urządzenia może odczytać te dane bez żadnych dodatkowych narzędzi kryptoanalizy.

Skutki

Atakujący może uzyskać dostęp do wrażliwych informacji (np. danych uwierzytelniających) przechowywanych w pamięci lub zapisanych na dysku, co może prowadzić do przejęcia kontroli nad systemem lub dalszego kompromitowania infrastruktury przemysłowej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.cisa.gov/news-events/ics-advisories/icsa-25-189-01 oraz https://www.emerson.com/en-us/support/security-notifications i https://www.emerson.com/en-us/support/software-downloads-drivers

Kogo dotyczy

Produkty Emerson ValveLink — szczegółowe wersje wskazane w referencjach producenta (ICSA-25-189-01 oraz powiadomienia bezpieczeństwa Emerson)

Uwagi

Podatność dotyczy środowiska przemysłowego (ICS/OT) — systemy klasy ValveLink są stosowane w krytycznej infrastrukturze. Poradnik bezpieczeństwa opublikowany przez CISA jako ICS Advisory ICSA-25-189-01.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje