CRITICAL🇬🇧 English

CVE-2025-24865

Brak uwierzytelnienia w panelu administracyjnym mySCADA myPRO Manager

CVSS 10.0v4.0pub. 2025-02-13upd. 2025-03-04

Administracyjny interfejs webowy mySCADA myPRO Manager jest dostępny bez uwierzytelnienia, co pozwala nieautoryzowanemu atakującemu na odczyt wrażliwych danych oraz przesyłanie plików. Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją ekstremalnie krytyczną.

Pokaż oryginał (EN)

The administrative web interface of mySCADA myPRO Manager can be accessed without authentication which could allow an unauthorized attacker to retrieve sensitive information and upload files without the associated password.

🤖 Analiza AI
Jak działa

Podatność wynika z braku mechanizmu uwierzytelnienia (CWE-306 — Missing Authentication for Critical Function) w administracyjnym interfejsie webowym aplikacji. Atakujący zdalnie, bez żadnych poświadczeń, może uzyskać bezpośredni dostęp do funkcji administracyjnych systemu. Nie są wymagane żadne interakcje ze strony użytkownika ani szczególne warunki sieciowe — wystarczy dostęp sieciowy do interfejsu.

Skutki

Atakujący może odczytać wrażliwe informacje systemowe oraz przesyłać dowolne pliki na serwer bez znajomości hasła, co może prowadzić do pełnego przejęcia kontroli nad systemem SCADA i zagrożenia dla infrastruktury przemysłowej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Aktualizacja dostępna pod adresem producenta: https://www.myscada.org/downloads/mySCADAPROManager/. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do interfejsu administracyjnego wyłącznie do zaufanych adresów IP oraz izolację systemu od sieci publicznych za pomocą firewall.

Kogo dotyczy

Produkt mySCADA myPRO Manager — wersje wskazane w referencjach producenta oraz w poradniku CISA ICS-CERT (ICSA-25-044-16)

Uwagi

Podatność dotyczy systemu przemysłowego klasy SCADA/ICS. Poradnik bezpieczeństwa został opublikowany przez CISA jako ICS Advisory ICSA-25-044-16 w dniu 13 lutego 2025 roku.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Myscada Mypro

    APP
    Myscada
    < 1.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-22896CRITICAL9.2PL ✓ten sam produkt

mySCADA myPRO Manager — przechowywanie poświadczeń w postaci jawnej (cleartext)

CVE-2025-25067CRITICAL9.3PL ✓ten sam produkt

Command Injection w mySCADA myPRO Manager — zdalne wykonanie poleceń OS

CVE-2024-4708CRITICAL9.3PL ✓ten sam produkt

mySCADA myPRO — hardcoded password umożliwiający zdalne wykonanie kodu

CVE-2022-2234CRITICAL9.9ten sam produkt

An authenticated mySCADA myPRO 8.26.0 user may be able to modify parameters to run commands directly in the op...

CVE-2021-43981CRITICAL10.0ten sam produkt

mySCADA myPRO: Versions 8.20.0 and prior has a feature to send emails, which may allow an attacker to inject a...