nvd
Opcfoundation
Уязвимости
26
Эксплуатируемые
0
Критический
0
Высокий
18
Топ продуктов
Топ уязвимостей
CVE-2017-12070Неподписанные версии DLL, распространяемые OPC Foundation, могут быть заменены вредоносным кодом.
CVE-2024-42512Уязвимость в OPC UA .NET Standard Stack до версии 1.5.374.158 позволяет несанкционированному атакующему обойти аутентификацию приложения, когда включена устаревшая политика безопасности Basic128Rsa15.
CVE-2018-12585XXE-уязвимость в OPC UA Java и .NET Legacy Stack может позволить удаленным злоумышленникам вызвать отказ в обслуживании.
CVE-2022-44725OPC Foundation Local Discovery Server (LDS) до версии 1.04.403.478 использует жестко заданный путь к файлу конфигурации. Это позволяет обычному пользователю создать вредоносный файл, который загружается LDS (работающим от имени пользователя с высокими привилегиями).
CVE-2017-11672OPC Foundation Local Discovery Server (LDS) до версии 1.03.367 устанавливается как служба Windows без добавления двойных кавычек вокруг пути к исполняемому файлу opcualds.exe, что может позволить локальным пользователям получить привилегии.
CVE-2023-32787OPC UA Legacy Java Stack до 6f176f2 позволяет злоумышленнику блокировать серверные приложения OPC UA посредством неконтролируемого потребления ресурсов, чтобы они больше не могли обслуживать клиентские приложения.
CVE-2023-27321Уязвимость OPC Foundation UA .NET Standard ConditionRefresh, приводящая к исчерпанию ресурсов и отказу в обслуживании. Эта уязвимость позволяет удаленным злоумышленникам создавать условия отказа в обслуживании на затронутых установках OPC Foundation UA .NET Standard. Для эксплуатации этой уязвимости аутентификация не требуется.
Конкретный недостаток заключается в обработке запросов OPC UA ConditionRefresh. Отправляя большое количество запросов, злоумышленник может исчерпать все доступные ресурсы на сервере. Злоумышленник может использовать эту уязвимость для создания условий отказа в обслуживании в системе. Был ZDI-CAN-20505.
CVE-2022-33916OPC UA .NET Standard Reference Server 1.04.368 позволяет удаленному злоумышленнику заставить приложение получить доступ к конфиденциальной информации.
CVE-2022-30551OPC UA Legacy Java Stack 2022-04-01 позволяет удаленному злоумышленнику привести к остановке обработки сообщений сервером, отправляя специально созданные сообщения, которые исчерпывают доступные ресурсы.
CVE-2022-29866OPC UA .NET Standard Stack 1.04.368 позволяет удаленному злоумышленнику исчерпать ресурсы памяти сервера с помощью специально созданного запроса, который вызывает неконтролируемое потребление ресурсов.
CVE-2022-29865OPC UA .NET Standard Stack позволяет удаленному злоумышленнику обойти проверку подлинности приложения с помощью поддельных учетных данных.
CVE-2022-29864OPC UA .NET Standard Stack 1.04.368 позволяет удаленному злоумышленнику вызвать сбой сервера с помощью большого количества сообщений, которые вызывают неконтролируемое потребление ресурсов.
CVE-2022-29863OPC UA .NET Standard Stack 1.04.368 позволяет удаленному злоумышленнику вызвать сбой с помощью специально созданного сообщения, которое вызывает чрезмерное выделение памяти.
CVE-2022-29862Бесконечный цикл в OPC UA .NET Standard Stack 1.04.368 позволяет удаленным злоумышленникам вызвать зависание приложения с помощью специально созданного сообщения.
CVE-2021-40142В OPC Foundation Local Discovery Server (LDS) до версии 1.04.402.463 удаленные злоумышленники могут вызвать отказ в обслуживании (DoS), отправляя тщательно разработанные сообщения, которые приводят к доступу к ячейке памяти после окончания буфера.
CVE-2021-27432OPC Foundation UA .NET Standard версий до 1.4.365.48 и OPC UA .NET Legacy уязвимы к неконтролируемой рекурсии, которая может позволить злоумышленнику вызвать переполнение стека.
CVE-2020-8867Эта уязвимость позволяет удаленным злоумышленникам создавать условия отказа в обслуживании на уязвимых установках OPC Foundation UA .NET Standard 1.04.358.30. Для эксплуатации этой уязвимости не требуется аутентификация. Конкретный недостаток существует в обработке сеансов. Проблема возникает из-за отсутствия надлежащей блокировки при выполнении операций с объектом. Злоумышленник может использовать эту уязвимость для создания условия отказа в обслуживании приложения. Was ZDI-CAN-10295.
CVE-2019-19135В OPC Foundation OPC UA .NET Standard codebase 1.4.357.28 серверы создают недостаточно случайные числа в OPCFoundation.NetStandard.Opc.Ua до 1.4.359.31, что позволяет злоумышленникам, находящимся посередине, повторно использовать зашифрованные учетные данные пользователя, отправленные по сети.
CVE-2021-45117Автоматически созданные ANSI C заглушки стека OPC (в NodeSets) не обрабатывают все случаи ошибок. Это может привести к разыменованию нулевого указателя.
CVE-2017-17443OPC Foundation Local Discovery Server (LDS) 1.03.370 потребовалось обновление безопасности для устранения многочисленных уязвимостей, которые позволяют злоумышленникам вызывать сбой, помещая недопустимые данные в файл конфигурации. Эта уязвимость требует наличия у злоумышленника доступа к файловой системе, где хранится файл конфигурации; однако, если файл конфигурации изменен, LDS будет недоступен до тех пор, пока он не будет восстановлен.
CVE-2024-42513Уязвимость в OPC UA .NET Standard Stack до версии 1.5.374.158 позволяет неавторизованному атакующему обходить аутентификацию приложения при использовании HTTPS-эндпоинтов.
CVE-2023-31048OPC UA .NET Standard Reference Server до версии 1.4.371.86 помещает конфиденциальную информацию в сообщение об ошибке, которое может быть увидено удаленно.
CVE-2018-7559Обнаружена проблема в OPC UA .NET Standard Stack and Sample Code до GitHub commit 2018-04-12 и OPC UA .NET Legacy Stack and Sample Code до GitHub commit 2018-03-13. Уязвимость в приложениях OPC UA может позволить удаленному злоумышленнику определить закрытый ключ сервера, отправив тщательно сконструированные плохие UserIdentityTokens в рамках атаки oracle.
CVE-2018-12087Невозможность проверки сертификатов в клиентских приложениях OPC Foundation UA, взаимодействующих без защиты, позволяет злоумышленникам, контролирующим часть сетевой инфраструктуры, расшифровывать пароли.
CVE-2018-12086Переполнение буфера в приложениях OPC UA позволяет удаленным злоумышленникам вызывать переполнение стека с помощью тщательно структурированных запросов.