PT-2022-3463 · Open Automation · Open Automation Software Oas Platform
Jared Rittle
·
Publicado
2022-05-25
·
Atualizado
2023-07-26
·
CVE-2022-26043
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:N |
Nome do software vulnerável e versões afetadas
Open Automation Software OAS Platform versão V16.00.0112
Descrição
O problema diz respeito à funcionalidade SecureAddSecurity do OAS Engine, na qual a ausência de verificação de autenticação para uma função crítica pode ser explorada. Um invasor pode enviar uma série de solicitações de rede especialmente criadas para criar um Grupo de Segurança personalizado, o que pode levar ao acesso não autorizado ao sistema.
Recomendações
Para a Plataforma OAS da Open Automation Software versão V16.00.0112, considere restringir o acesso à funcionalidade SecureAddSecurity do OAS Engine até que uma correção esteja disponível. Como solução alternativa temporária, implemente verificações de autenticação adicionais para funções críticas a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Open Automation Software Oas Platform