Система управления гидросистемой не обеспечивает авторизацию для некоторых каталогов. Это позволяет неавторизованному злоумышленнику прочитать все файлы в этих каталогах и даже выполнить некоторые из них. Крайне важно, что злоумышленник мог запускать PHP-скрипты непосредственно в подключенной базе данных.
Эта проблема была исправлена в Системе управления гидросистемой версии 9.8.5.
Показать оригинальное описание (EN)
Hydrosystem Control System does not enforce authorization for some directories. This allows an unauthorized attacker to read all files in these directories and even execute some of them. Critically the attacker could run PHP scripts directly on the connected database.This issue was fixed in Hydrosystem Control System version 9.8.5
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0