CWE 321: L'uso di chiavi crittografiche
hard-coded Le vulnerabilità delle chiavi crittografiche hard-coded potrebbero portare all'escalation dei privilegi. FactoryTalk System Services utilizza una chiave crittografica hard-coded per generare cookie di amministratore. Questa vulnerabilità potrebbe consentire a un utente non amministratore autenticato locale di generare un cookie amministratore non valido che conferisca privilegi amministrativi al database FactoryTalk Policy Manger. L’aggressore potrebbe apportare modifiche dannose al database da distribuire quando un utente legittimo di FactoryTalk Policy Manager implementa un modello di policy di sicurezza. L'interazione dell'utente è necessaria per sfruttare correttamente questa vulnerabilità.
CVE-2023-2637
Rockwell Automation
Piattaforma FactoryTalk Services
7.3
Team82 si impegna a segnalare privatamente le vulnerabilità ai fornitori interessati in modo coordinato e tempestivo al fine di garantire la sicurezza dell’ecosistema della sicurezza informatica in tutto il mondo. Per interagire con il fornitore e la comunità di ricerca, Team82 ti invita a scaricare e condividere la nostra Politica sulla divulgazione coordinata. Team82 aderisce a questo processo di segnalazione e divulgazione quando scopriamo vulnerabilità in prodotti e servizi.
Team82 ha inoltre reso disponibile la sua chiave PGP pubblica per il fornitore e la comunità di ricerca per scambiare in modo sicuro e protetto le informazioni sulla vulnerabilità e sulla ricerca con noi.
