Administracyjny interfejs webowy mySCADA myPRO Manager jest dostępny bez uwierzytelnienia, co pozwala nieautoryzowanemu atakującemu na odczyt wrażliwych danych oraz przesyłanie plików. Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją ekstremalnie krytyczną.
▸ Pokaż oryginał (EN)
The administrative web interface of mySCADA myPRO Manager can be accessed without authentication which could allow an unauthorized attacker to retrieve sensitive information and upload files without the associated password.
Podatność wynika z braku mechanizmu uwierzytelnienia (CWE-306 — Missing Authentication for Critical Function) w administracyjnym interfejsie webowym aplikacji. Atakujący zdalnie, bez żadnych poświadczeń, może uzyskać bezpośredni dostęp do funkcji administracyjnych systemu. Nie są wymagane żadne interakcje ze strony użytkownika ani szczególne warunki sieciowe — wystarczy dostęp sieciowy do interfejsu.
Atakujący może odczytać wrażliwe informacje systemowe oraz przesyłać dowolne pliki na serwer bez znajomości hasła, co może prowadzić do pełnego przejęcia kontroli nad systemem SCADA i zagrożenia dla infrastruktury przemysłowej.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Aktualizacja dostępna pod adresem producenta: https://www.myscada.org/downloads/mySCADAPROManager/. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do interfejsu administracyjnego wyłącznie do zaufanych adresów IP oraz izolację systemu od sieci publicznych za pomocą firewall.
Produkt mySCADA myPRO Manager — wersje wskazane w referencjach producenta oraz w poradniku CISA ICS-CERT (ICSA-25-044-16)
Podatność dotyczy systemu przemysłowego klasy SCADA/ICS. Poradnik bezpieczeństwa został opublikowany przez CISA jako ICS Advisory ICSA-25-044-16 w dniu 13 lutego 2025 roku.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMyscada Mypro
APPMyscada< 1.4
Powiązane podatności
mySCADA myPRO Manager — przechowywanie poświadczeń w postaci jawnej (cleartext)
Command Injection w mySCADA myPRO Manager — zdalne wykonanie poleceń OS
mySCADA myPRO — hardcoded password umożliwiający zdalne wykonanie kodu
An authenticated mySCADA myPRO 8.26.0 user may be able to modify parameters to run commands directly in the op...
mySCADA myPRO: Versions 8.20.0 and prior has a feature to send emails, which may allow an attacker to inject a...