PT-2022-16853 · Haas · Haas Controller
Francesco Sortino
+1
·
Publicado
2022-10-28
·
Atualizado
2022-11-02
·
CVE-2022-2475
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Haas Controller versão 100.20.000.1110
Descrição
O problema está relacionado à granularidade insuficiente do controle de acesso ao usar o serviço “Ethernet Q Commands”. Isso permite que qualquer usuário grave macros em registros fora do intervalo de acesso autorizado, possibilitando potencialmente o acesso a recursos privilegiados ou fora de contexto.
Recomendações
Para o Haas Controller versão 100.20.000.1110, considere restringir o acesso ao serviço “Ethernet Q Commands” para minimizar o risco de exploração. Como solução temporária, limite a capacidade dos usuários de gravar macros em registros fora de seu intervalo de acesso autorizado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Haas Controller