CRITICAL🇬🇧 English

CVE-2023-0757

Nieprawidłowe uprawnienia zasobów krytycznych w Phoenix Contact MULTIPROG i ProConOS eCLR

CVSS 9.8v3.1pub. 2023-12-14upd. 2024-11-21

Podatność w produktach PHOENIX CONTACT MULTIPROG oraz ProConOS eCLR (SDK) pozwala nieuwierzytelnionemu atakującemu zdalnie wgrać dowolny złośliwy kod i uzyskać pełen dostęp do urządzenia. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko dla środowisk przemysłowych korzystających z tych produktów.

Pokaż oryginał (EN)

Incorrect Permission Assignment for Critical Resource vulnerability in PHOENIX CONTACT MULTIPROG, PHOENIX CONTACT ProConOS eCLR (SDK) allows an unauthenticated remote attacker to upload arbitrary malicious code and gain full access on the affected device.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowym przypisaniu uprawnień do krytycznych zasobów systemowych (CWE-732). Atakujący bez żadnego uwierzytelnienia może przez sieć zdalnie przesłać (upload) dowolny złośliwy kod na podatne urządzenie. Brak wymagań dotyczących interakcji użytkownika oraz niska złożoność ataku sprawiają, że podatność jest szczególnie łatwa do wykorzystania.

Skutki

Atakujący uzyskuje pełny dostęp do urządzenia, co umożliwia wykonanie dowolnego kodu, przejęcie kontroli nad systemem oraz potencjalne zakłócenie procesów przemysłowych. Skutkuje to całkowitą utratą poufności, integralności i dostępności zasobów urządzenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://cert.vde.com/en/advisories/VDE-2023-051/). Do czasu wdrożenia aktualizacji zaleca się izolację sieciową urządzeń, ograniczenie dostępu sieciowego za pomocą firewall oraz stosowanie zasady minimalnych uprawnień w infrastrukturze sieciowej.

Kogo dotyczy

PHOENIX CONTACT MULTIPROG oraz PHOENIX CONTACT ProConOS eCLR (SDK) — szczegółowe wersje wskazane w referencjach producenta (cert.vde.com, VDE-2023-051)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Phoenixcontact Multiprog

    APP
    Phoenixcontact
    wszystkie wersje
  • Phoenixcontact Proconos Eclr

    APP
    Phoenixcontact
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-31801CRITICAL9.8ten sam produkt

An unauthenticated, remote attacker could upload malicious logic to the devices based on ProConOS/ProConOS eCL...

CVE-2023-5592HIGH7.5ten sam produkt

Download of Code Without Integrity Check vulnerability in PHOENIX CONTACT MULTIPROG, PHOENIX CONTACT ProConOS ...

CVE-2025-25270CRITICAL9.8PL ✓ten sam vendor

RCE jako root w sterownikach ładowania Phoenix Contact CHARX SEC-3x00

CVE-2024-25995CRITICAL9.8PL ✓ten sam vendor

RCE i eskalacja uprawnień w Phoenix Contact CHARX SEC — brak walidacji danych wejściowych

CVE-2023-46141CRITICAL9.8PL ✓ten sam vendor

Phoenix Contact: nieuprawniony zdalny dostęp do urządzeń linii klasycznej

CVE-2023-0757 — Nieprawidłowe uprawnienia zasobów krytycznych w Phoenix Contact MULTIPROG i ProConOS eCLR — CRITICAL 9.8 | CVEbaza.pl