PT-2022-3462 · Open Automation · Open Automation Software Oas Platform
Jared Rittle
·
Publicado
2022-05-25
·
Atualizado
2023-07-26
·
CVE-2022-26303
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:N |
Nome do software vulnerável e versões afetadas
Open Automation Software OAS Platform versão V16.00.0112
Descrição
O problema diz respeito à funcionalidade SecureAddUser do OAS Engine, na qual a ausência de verificação de autenticação para uma função crítica pode ser explorada. Um invasor pode enviar uma série de solicitações de rede especialmente criadas para criar uma conta de usuário OAS, o que pode levar ao acesso não autorizado ao sistema.
Recomendações
Para a Plataforma OAS da Open Automation Software versão V16.00.0112, considere desativar a funcionalidade SecureAddUser até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao OAS Engine para minimizar o risco de acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Open Automation Software Oas Platform