CRITICAL🇬🇧 English

CVE-2025-25067

Command Injection w mySCADA myPRO Manager — zdalne wykonanie poleceń OS

CVSS 9.3v4.0pub. 2025-02-13upd. 2025-04-23

mySCADA myPRO Manager zawiera krytyczną podatność typu OS command injection, która umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemu operacyjnego. Ze względu na brak wymagań dotyczących uwierzytelnienia i dostępu sieciowego, podatność stanowi poważne zagrożenie dla środowisk przemysłowych (ICS/SCADA).

Pokaż oryginał (EN)

mySCADA myPRO Manager is vulnerable to an OS command injection which could allow a remote attacker to execute arbitrary OS commands.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej walidacji lub sanityzacji danych wejściowych przekazywanych do funkcji systemowych w mySCADA myPRO Manager (CWE-78). Atakujący może przesłać specjalnie spreparowane żądanie sieciowe zawierające złośliwe polecenia systemowe, które zostają wykonane bezpośrednio przez system operacyjny hosta. Atak nie wymaga posiadania żadnych uprawnień ani interakcji ze strony użytkownika, co czyni go szczególnie niebezpiecznym w środowiskach przemysłowych eksponowanych na sieć.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem operacyjnym hosta, na którym działa mySCADA myPRO Manager, w tym możliwość odczytu i modyfikacji danych, instalacji złośliwego oprogramowania oraz zakłócenia działania procesów przemysłowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Aktualizację można pobrać ze strony producenta (https://www.myscada.org/downloads/mySCADAPROManager/). Dodatkowo zaleca się odizolowanie systemów ICS/SCADA od sieci publicznej, stosowanie firewalla oraz ograniczenie dostępu sieciowego do systemu wyłącznie do zaufanych hostów.

Kogo dotyczy

mySCADA myPRO Manager — wersje wskazane w referencjach producenta oraz w poradniku CISA ICS-CERT (ICSA-25-044-16)

Uwagi

Podatność została opisana w poradniku CISA ICS-CERT o numerze ICSA-25-044-16, opublikowanym 13 lutego 2025 roku, co wskazuje na jej istotność w kontekście bezpieczeństwa infrastruktury przemysłowej.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Myscada Mypro

    APP
    Myscada
    < 1.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2025-22896CRITICAL9.2PL ✓ten sam produkt

mySCADA myPRO Manager — przechowywanie poświadczeń w postaci jawnej (cleartext)

CVE-2025-24865CRITICAL10.0PL ✓ten sam produkt

Brak uwierzytelnienia w panelu administracyjnym mySCADA myPRO Manager

CVE-2024-4708CRITICAL9.3PL ✓ten sam produkt

mySCADA myPRO — hardcoded password umożliwiający zdalne wykonanie kodu

CVE-2022-2234CRITICAL9.9ten sam produkt

An authenticated mySCADA myPRO 8.26.0 user may be able to modify parameters to run commands directly in the op...

CVE-2021-43981CRITICAL10.0ten sam produkt

mySCADA myPRO: Versions 8.20.0 and prior has a feature to send emails, which may allow an attacker to inject a...