PT-2022-2740 · Open Automation · Open Automation Software Oas Platform
Jared Rittle
·
Publicado
2022-05-25
·
Atualizado
2024-02-15
·
CVE-2022-26833
CVSS v3.1
9.7
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H |
Nome do software vulnerável e versões afetadas
Open Automation Software OAS Platform versão 16.00.0121
Descrição
O problema está relacionado a uma vulnerabilidade de autenticação inadequada na funcionalidade da API REST. Essa vulnerabilidade pode ser acionada por uma série de solicitações HTTP especialmente criadas, levando ao uso não autenticado da API REST. Um invasor pode explorar isso enviando uma série de solicitações HTTP, permitindo potencialmente a execução remota de código arbitrário.
Recomendações
Para a Open Automation Software OAS Platform versão 16.00.0121, considere desativar a funcionalidade da API REST até que um patch esteja disponível para impedir o uso não autenticado. Restrinja o acesso à API REST para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Open Automation Software Oas Platform