nvd
Ecava
Уязвимости
26
Эксплуатируемые
0
Критический
6
Высокий
5
Топ продуктов
Топ уязвимостей
CVE-2010-4597Переполнение буфера на основе стека в методе save в элементе управления ActiveX IntegraXor.Project в igcomm.dll в Ecava IntegraXor Human-Machine Interface (HMI) до версии 3.5.3900.10 позволяет удаленным злоумышленникам выполнять произвольный код через длинную строку во втором аргументе.
CVE-2017-6050В Ecava IntegraXor версий 5.2.1231.0 и более ранних обнаружена проблема SQL-инъекции. Приложение неправильно проверяет пользовательский ввод, что может позволить не прошедшему проверку подлинности злоумышленнику удаленно выполнять произвольный код в форме SQL-запросов.
CVE-2016-8341Проблема обнаружена в Ecava IntegraXor версии 5.0.413.0. Веб-сервер Ecava IntegraXor имеет параметры, которые уязвимы для SQL-инъекций. Если запросы не будут очищены, база данных хоста может быть подвергнута командам чтения, записи и удаления.
CVE-2012-4700Множественные переполнения буфера в элементе управления ActiveX в PE3DO32A.ocx в IntegraXor SCADA Server 4.00 build 4250.0 и более ранних версиях позволяют удаленным злоумышленникам выполнять произвольный код через специально созданный HTML-документ.
CVE-2012-0246Уязвимость обхода каталогов в неуказанном элементе управления ActiveX в Ecava IntegraXor до 3.71.4200 позволяет удаленным злоумышленникам выполнять произвольный код через векторы, включающие HTML-документ на сервере.
CVE-2014-2375Ecava IntegraXor SCADA Server Stable 4.1.4360 и более ранние версии, а также Beta 4.1.4392 и более ранние версии позволяют удаленным злоумышленникам читать или записывать произвольные файлы и получать конфиденциальную информацию или вызывать отказ в обслуживании (потребление диска) через функцию экспорта CSV.
CVE-2014-0753В SCADA-сервере Ecava IntegraXor до версии 4.1.4390 существует уязвимость переполнения буфера в стеке, которая позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой системы) путем запуска доступа к коду DLL, расположенному в директории IntegraXor [1].
Источники:
- [1] http://osvdb.org/102171
- [2] http://www.integraxor.com/blog/buffer-overflow-vulnerability-note/
- [3] https://www.cisa.gov/news-events/ics-advisories/icsa-14-016-01
CVE-2016-2306Веб-сервер HMI в Ecava IntegraXor до версии 5.0 build 4522 позволяет удаленным злоумышленникам получать конфиденциальную информацию в виде открытого текста, перехватывая сетевой трафик.
CVE-2014-2376Уязвимость SQL-инъекции в Ecava IntegraXor SCADA Server Stable 4.1.4360 и более ранних версиях, а также Beta 4.1.4392 и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через неуказанные векторы.
CVE-2011-1562Ecava IntegraXor HMI до n 3.60 (Build 4032) позволяет удаленным злоумышленникам обходить аутентификацию и выполнять произвольные SQL-операторы через неуказанные векторы, связанные со специально созданным POST-запросом. ПРИМЕЧАНИЕ: некоторые источники сообщают об этой проблеме как об SQL-инъекции, но это может быть неточно.
CVE-2016-2299Уязвимость SQL-инъекции в Ecava IntegraXor до версии 5.0 build 4522 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через неуказанные векторы.
CVE-2010-4599Уязвимость ненадежного пути поиска в Ecava IntegraXor 3.6.4000.0 позволяет локальным пользователям получать привилегии через файл Trojan horse dwmapi.dll в текущем рабочем каталоге. ПРИМЕЧАНИЕ: происхождение этой информации неизвестно; подробности получены исключительно из информации третьих сторон.
CVE-2016-2300Ecava IntegraXor до версии 5.0 build 4522 позволяет удаленным злоумышленникам обходить аутентификацию и получать доступ к неуказанным веб-страницам через неизвестные векторы.
CVE-2016-2301Уязвимость SQL-инъекции в Ecava IntegraXor до версии 5.0 build 4522 позволяет удаленным аутентифицированным пользователям выполнять произвольные SQL-команды через неуказанные векторы.
CVE-2016-2305Уязвимость межсайтового скриптинга (XSS) в Ecava IntegraXor до версии 5.0 build 4522 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданный URL.
CVE-2017-16735В Ecava IntegraXor v 6.1.1030.1 и более ранних версиях обнаружена проблема SQL-инъекции. Выявлена уязвимость SQL-инъекции, которая генерирует ошибку в журнале базы данных.
CVE-2017-16733В Ecava IntegraXor v 6.1.1030.1 и более ранних версиях обнаружена проблема SQL-инъекции. Выявлена уязвимость SQL-инъекции, которую злоумышленник может использовать для раскрытия конфиденциальной информации из базы данных.
CVE-2016-2303Уязвимость CRLF-инъекции в Ecava IntegraXor до версии 5.0 build 4522 позволяет удаленным злоумышленникам внедрять произвольные HTTP-заголовки и проводить атаки с разделением HTTP-ответов через специально созданный URL.
CVE-2016-2302Ecava IntegraXor до версии 5.0 build 4522 позволяет удаленным злоумышленникам получать конфиденциальную информацию, читая подробные сообщения об ошибках.
CVE-2014-2377Ecava IntegraXor SCADA Server Stable 4.1.4360 и более ранние версии, а также Beta 4.1.4392 и более ранние версии позволяют удаленным злоумышленникам обнаруживать полные пути через тег приложения.
CVE-2014-0786В Ecava IntegraXor до версии 4.1.4393 обнаружена уязвимость, позволяющая удаленным злоумышленникам читать незашифрованные учетные данные административных учетных записей через SELECT-запросы, используя роль «guest». Согласно отчету [1], уязвимость возникает из-за неадекватной изоляции пользователя «guest» на веб-сервере приложения.
Источники:
- [1] http://www.integraxor.com/blog/category/security/vulnerability-note/
- [2] https://www.cisa.gov/news-events/ics-advisories/icsa-14-091-01
- [3] http://www.integraxor.com/blog/category/security/vulnerability-note/
CVE-2014-0752SCADA-сервер в Ecava IntegraXor до 4.1.4369 позволяет удаленным злоумышленникам читать произвольные файлы резервных копий проектов через специально созданный URL-адрес.
CVE-2010-4598Уязвимость обхода каталогов в Ecava IntegraXor 3.6.4000.0 и более ранних версиях позволяет удаленным злоумышленникам читать произвольные файлы через .. (две точки) в параметре file_name в запросе open.
CVE-2015-0990Уязвимость ненадежного пути поиска в Ecava IntegraXor SCADA Server до версии 4.2.4488 позволяет локальным пользователям получать привилегии через переименованный DLL в каталоге установки по умолчанию.
CVE-2016-2304Ecava IntegraXor до версии 5.0 build 4522 не включает флаг HTTPOnly в заголовок Set-Cookie для cookie сеанса, что облегчает удаленным злоумышленникам получение потенциально конфиденциальной информации через доступ скрипта к этому cookie.