Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2023-02704

CVSS: 8.1

10.08.2021

Уязвимость функции ParseAttribs инструмент сжатия XML-данных Xmill, позволяющая нарушителю выполнить произвольный код

Уязвимость функции ParseAttribs инструмент сжатия XML-данных Xmill связана повреждением памяти при помощи специально созданного XML файла. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	10.08.2021
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Манипулирование структурами данных
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: https://www.se.com/hk/en/download/document/SEVD-2021-222-02/

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-122	Переполнение буфера в динамической памяти

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2021-21810	A memory corruption vulnerability exists in the XML-parsing ParseAttribs functionality of AT&T Labs’ Xmill 0.7. A specially c...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.6	HIGH	2.0	AV:N/AC:H/Au:N/C:C/I:C/A:C
8.1	HIGH	3.0	AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2021-21810 ICSA-22-223-03 TALOS-2021-1278

Вендор:	Schneider Electric AT&T Labs
Тип ПО:	ПО программно-аппаратного средства АСУ ТП Прикладное ПО информационных систем ПО программно-аппаратного средства
Наименование ПО:	EcoStruxur Process Expert EcoStruxure Control Expert SCADAPack RemoteConnect Xmill
Версия ПО:	до V2021 (EcoStruxur Process Expert) до 15.1 HF001 (EcoStruxure Control Expert) до R2.7.3 (SCADAPack RemoteConnect) 0.7 (Xmill)
Ссылки на источники:	https://www.cybersecurity-help.cz/vdb/SB2021081203 https://safe-surf.ru/upload/VULN/VULN-20210813.2.pdf https://www.se.com/hk/en/download/document/SEVD-2021-222-02/ https://talosintelligence.com/vulnerability_reports/TALOS-2021-1278 https://www.cisa.gov/news-events/ics-advisories/icsa-22-223-03

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-02704