PT-2020-2740 · Emerson · Emerson Openenterprise
Roman Lozko
·
Publicado
2020-05-20
·
Atualizado
2022-03-04
·
CVE-2020-10640
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Emerson OpenEnterprise até a 3.3.4
Descrição
O problema está relacionado à implementação incorreta do mecanismo de autenticação na plataforma SCADA Emerson OpenEnterprise para aplicações remotas de petróleo e gás. Isso pode permitir que um invasor execute comandos arbitrários com privilégios de sistema ou execute código remotamente por meio de um serviço de comunicação específico, enviando uma mensagem de serviço maliciosa especialmente criada.
Recomendações
Para as versões do Emerson OpenEnterprise até a 3.3.4, considere desativar o serviço de comunicação específico que permite a execução remota de código até que uma correção esteja disponível. Restrinja o acesso ao sistema para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Emerson Openenterprise