CVE-2019-19228Критический
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
Устройства Fronius Solar Inverter до версии 3.14.1 (HM 1.12.1) позволяют злоумышленникам обходить аутентификацию, поскольку пароль для учет…
CVSS
9.8
Критический
EPSS
0.02
p76
Опубликовано
2019-01-01
Обновлено
2019-01-01
Описание
Устройства Fronius Solar Inverter до версии 3.14.1 (HM 1.12.1) позволяют злоумышленникам обходить аутентификацию, поскольку пароль для учетной записи today хранится в файле /tmp/web_users.conf.
Теги · CWE
Без аутентификации
CWE-312
CWE-312БазаЧерновик
Хранение конфиденциальной информации в открытом виде
Продукт хранит конфиденциальную информацию в открытом виде в ресурсе, который может быть доступен другой сфере управления.
https://cwe.mitre.org/data/definitions/312.html →Открыть в коллекции CWE →CAPEC-37
CAPEC-37ДетальныйЧерновик
Извлечение встроенных конфиденциальных данных
Злоумышленник исследует целевую систему для поиска конфиденциальных данных, встроенных в неё. Эта информация может раскрывать конфиденциальные сведения, такие как номера счетов или отдельные ключи/учётные данные, которые могут использоваться в качестве промежуточного шага в более масштабной атаке.
https://capec.mitre.org/data/definitions/37.html →Открыть в коллекции CAPEC →Затронутые продукты
Datamanager_box_2.0_firmwareEco_25.0-3-s_firmwareEco_27.0-3-s_firmwareGalvo_1.5-1_208-240_firmwareGalvo_1.5-1_firmwareGalvo_2.0-1_208-240_firmwareGalvo_2.0-1_firmwareGalvo_2.5-1_208-240_firmwareGalvo_2.5-1_firmwareGalvo_3.0-1_firmwareGalvo_3.1-1_208-240_firmwareGalvo_3.1-1_firmwarePrimo_10.0-1_208-240_firmwarePrimo_11.4-1_208-240_firmwarePrimo_12.5-1_208-240_firmwarePrimo_15.0-1_208-240_firmwarePrimo_3.0-1_firmwarePrimo_3.5-1_firmwarePrimo_3.6-1_firmwarePrimo_3.8-1_208-240_firmware
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2019-01-01
Опубликована
2019-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.019 · p76
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
└ через CAPEC-37 · CWE-312
└ через CAPEC-37 · CWE-312
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
| Продукт | Вендор | Статус |
|---|---|---|
| datamanager_box_2.0_firmware | * | Отслеживается |
| eco_25.0-3-s_firmware | * | Отслеживается |
| eco_27.0-3-s_firmware | * | Отслеживается |
| galvo_1.5-1_208-240_firmware | * | Отслеживается |
| galvo_1.5-1_firmware | * | Отслеживается |
| galvo_2.0-1_208-240_firmware | * | Отслеживается |
| galvo_2.0-1_firmware | * | Отслеживается |
| galvo_2.5-1_208-240_firmware | * | Отслеживается |
| galvo_2.5-1_firmware | * | Отслеживается |
| galvo_3.0-1_firmware | * | Отслеживается |
| galvo_3.1-1_208-240_firmware | * | Отслеживается |
| galvo_3.1-1_firmware | * | Отслеживается |
| primo_10.0-1_208-240_firmware | * | Отслеживается |
| primo_11.4-1_208-240_firmware | * | Отслеживается |
| primo_12.5-1_208-240_firmware | * | Отслеживается |
| primo_15.0-1_208-240_firmware | * | Отслеживается |
| primo_3.0-1_firmware | * | Отслеживается |
| primo_3.5-1_firmware | * | Отслеживается |
| primo_3.6-1_firmware | * | Отслеживается |
| primo_3.8-1_208-240_firmware | * | Отслеживается |
Показаны первые 20 из 66
Источники данных
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →