В CODESYS Development System версий от 3.5.11.20 и до 3.5.19.20 отсутствие проверки целостности может позволить не прошедшему проверку подл…
В CODESYS Development System версий от 3.5.11.20 и до 3.5.19.20 отсутствие проверки целостности может позволить не прошедшему проверку подлинности удаленному злоумышленнику манипулировать содержимым уведомлений, полученных по HTTP сервером уведомлений CODESYS.
Продукт устанавливает канал связи для обработки входящего запроса, инициированного субъектом, однако не обеспечивает надлежащей проверки того, что запрос поступает из ожидаемого источника.
https://cwe.mitre.org/data/definitions/940.html →Открыть в коллекции CWE →Злоумышленник через ранее установленное вредоносное приложение внедряет код в контекст веб-страницы, отображаемой компонентом WebView. С помощью внедрённого кода злоумышленник способен манипулировать DOM-деревом и cookie-файлами страницы, раскрывать конфиденциальную информацию и запускать атаки на веб-приложение изнутри веб-страницы.
https://capec.mitre.org/data/definitions/500.html →Открыть в коллекции CAPEC →Злоумышленник внедряет трафик в сетевое соединение цели. За счёт этого злоумышленник способен деградировать или прерывать соединение, а также потенциально изменять содержимое передаваемых данных. Данная атака не является флуд-атакой, поскольку злоумышленник не ставит целью исчерпание ресурсов. Вместо этого он формирует специфические входные данные, чтобы воздействовать на систему определённым образом.
https://capec.mitre.org/data/definitions/594.html →Открыть в коллекции CAPEC →В данном шаблоне атаки злоумышленник внедряет пакет сброса соединения в один или оба конца соединения цели. Тем самым злоумышленник может вынудить цель и/или сервер назначения разорвать соединение без необходимости непосредственной фильтрации трафика между ними.
https://capec.mitre.org/data/definitions/595.html →Открыть в коллекции CAPEC →Злоумышленник внедряет один или несколько TCP RST-пакетов к цели после того, как цель выполнила HTTP GET-запрос. Цель атаки — вынудить цель и/или целевой веб-сервер завершить TCP-соединение.
https://capec.mitre.org/data/definitions/596.html →Открыть в коллекции CAPEC →