CWE-345: INSUFFIZIENTE ÜBERPRÜFUNG DER DATENBEFUGNIS
Eine Funktion in den betroffenen Produkten ermöglicht es Benutzern, eine Projektdatei mit einem eingebetteten VBA-Skript vorzubereiten und kann so konfiguriert werden, dass sie ausgeführt wird, sobald die Projektdatei ohne Benutzereingriff geöffnet wurde. Diese Funktion kann missbraucht werden, um einen legitimen Benutzer beim Öffnen einer infizierten RSP/RSS-Projektdatei dazu zu bringen, schädlichen Code auszuführen. Wenn sie ausgenutzt wird, kann ein Bedrohungsakteur in der Lage sein, eine Remote-Code-Ausführung durchzuführen.
CVE-2024-7847
Rockwell Automation
RSLogix 5, RSLogix 500
7.7
Team82 hat sich verpflichtet, die betroffenen Anbieter in einer koordinierten, zeitnahen Weise privat über Schwachstellen zu informieren, um die Sicherheit des Cybersicherheits-Ökosystems weltweit zu gewährleisten. Um mit der Anbieter- und Forschungsgemeinschaft in Kontakt zu treten, lädt Team82 Sie ein, unsere Richtlinie zur koordinierten Offenlegung herunterzuladen und weiterzugeben. Team82 wird diesen Melde- und Offenlegungsprozess einhalten, wenn wir Schwachstellen in Produkten und Dienstleistungen entdecken.
Team82 hat auch seinen öffentlichen PGP-Schlüssel für Anbieter und Forschungsgemeinschaften zur Verfügung gestellt, um Schwachstellen und Forschungsinformationen sicher und sicher mit uns auszutauschen.
