Delta Electronics DIAView zawiera krytyczną podatność sklasyfikowaną jako CWE-306 (brak uwierzytelnienia dla funkcji krytycznej), umożliwiającą nieautoryzowany dostęp do kluczowych funkcji systemu. Podatność otrzymała ocenę CVSS 9.8, co czyni ją zagrożeniem najwyższej kategorii.
▸ Pokaż oryginał (EN)
Delta Electronics DIAView has multiple vulnerabilities.
Zgodnie z klasyfikacją CWE-306 podatność polega na braku wymagania uwierzytelnienia dla funkcji krytycznych w aplikacji DIAView. Wektor ataku jest sieciowy (AV:N), nie wymaga żadnych uprawnień (PR:N) ani interakcji użytkownika (UI:N), a złożoność ataku jest niska (AC:L). Oznacza to, że zdalny, nieuprawniony atakujący może bezpośrednio wywołać wrażliwe funkcje systemu bez konieczności posiadania jakichkolwiek poświadczeń.
Skuteczne wykorzystanie podatności pozwala atakującemu na pełne naruszenie poufności, integralności oraz dostępności systemu (C:H/I:H/A:H), co może skutkować przejęciem kontroli nad aplikacją DIAView oraz danymi przez nią przetwarzanymi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — dokument Delta-PCSA-2026-00001 dostępny w centrum plików Delta Electronics (filecenter.deltaww.com) zawiera szczegółowe informacje o poprawkach dla CVE-2025-62581 oraz CVE-2025-62582
Delta Electronics DIAView — wersje wskazane w referencjach producenta (dokument Delta-PCSA-2026-00001)
Podatność jest częścią zestawu wielu podatności (multiple vulnerabilities) opisanych łącznie w dokumencie Delta-PCSA-2026-00001, obejmującym również CVE-2025-62581. Delta Electronics DIAView jest oprogramowaniem klasy SCADA/HMI stosowanym w środowiskach przemysłowych (OT/ICS), co zwiększa potencjalny wpływ podatności na infrastrukturę krytyczną.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDeltaww Diaview
APPDeltaww< 4.4.0
Powiązane podatności
Delta Electronics DIAView — krytyczne podatności (CVE-2025-62581)
Delta Electronics DIAView has Command Injection vulnerability.
Delta Electronics AS320T — błędna kalkulacja rozmiaru bufora w handlerze GET/PUT
Delta Electronics AS320T — przepełnienie bufora stosu przez nazwę pliku
Delta Electronics AS320T — przepełnienie bufora przez nazwę katalogu (stack-based buffer overflow)