SCHNEIDER ELECTRIC ИСПРАВИЛА КРИТИЧЕСКИЕ И ОПАСНЫЕ УЯЗВИМОСТИ В U.MOTION BUILDER
SCHNEIDER ELECTRIC ИСПРАВИЛА КРИТИЧЕСКИЕ И ОПАСНЫЕ УЯЗВИМОСТИ В U.MOTION BUILDER
Уязвимости связаны с обратными путями в директориях, раскрытием информации и удаленным выполнением кода.
На прошлой неделе французская энергомашиностроительная компания Schneider Electric сообщила пользователям об исправлении в своем программном продукте U.motion Builder 16 уязвимостей, в том числе критических и опасных.
U.motion представляет собой решение для автоматизации зданий, используемое как на коммерческих предприятиях, так и на объектах критической инфраструктуры по всему миру. По своему существу, U.motion – инструмент, позволяющий создавать проекты для устройств U.motion. Недавно обнаруженные в нем уязвимости связаны с обратными путями в директориях (path traversals), раскрытием информации и удаленным выполнением кода посредством SQL-инъекций. Большинство из них классифицируются как средней опасности, однако некоторые получили наивысший по балл по системе CVSS.
10 баллов по шкале оценивания CVSS получила уязвимость в Samba под названием SambaCry (CVE-2017-7494), позволяющая удаленно выполнить код. Вторая серьезная уязвимость (CVE-2018-7777) позволяет аутентифицированному атакующему удаленно выполнить произвольный код путем отправки на атакуемый сервер особым образом сконфигурированных запросов. Еще одной уязвимостью, представляющей большую опасность, является CVE-2018-7765, с помощью которой злоумышленник может осуществить SQL-инъекцию.
Уязвимости затрагивают версии U.motion Builder до 1.3.4, выпущенной в начале февраля текущего года.
