PT-2024-5280 · Automationdirect · Automationdirect P3-550E
Matt Wiseman
·
Publicado
2024-05-23
·
Atualizado
2024-06-10
·
CVE-2024-23315
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
AutomationDirect P3-550E versão 1.2.10.9
Descrição
Existe uma vulnerabilidade do tipo “read-what-where” na funcionalidade de leitura de memória IMM 01A1 do componente Programming Software Connection. Essa vulnerabilidade pode ser acionada por um pacote de rede especialmente criado, levando à divulgação de informações confidenciais. Um invasor pode enviar um pacote não autenticado para explorar essa falha. A vulnerabilidade está relacionada ao controle de acesso insuficiente no componente Programming Software Connection dos controladores lógicos programáveis AutomationDirect P3-550E.
Recomendações
Para o AutomationDirect P3-550E versão 1.2.10.9, considere restringir o acesso à funcionalidade de leitura de memória IMM 01A1 da conexão do software de programação até que um patch esteja disponível. Como solução alternativa temporária, desativar a funcionalidade vulnerável pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Automationdirect P3-550E