В случае эксплуатации этой уязвимости злоумышленник, не прошедший проверку подлинности, может выполнять операции, предназначенные только для ролей инструктора симулятора или разработчика симулятора (администратора), что приведет к повышению привилегий с возможностью изменения параметров моделирования, конфигурации обучения и записей обучения.
Показать оригинальное описание (EN)
The vulnerability, if exploited, could allow an unauthenticated miscreant to perform operations intended only for Simulator Instructor or Simulator Developer (Administrator) roles, resulting in privilege escalation with potential for modification of simulation parameters, training configuration, and training records.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 4
https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-1…
ics-cert@hq.dhs.gov
https://softwaresupportsp.aveva.com/en-US/downloads/products/details/57b79fdb-7…
ics-cert@hq.dhs.gov
https://www.aveva.com/content/dam/aveva/documents/support/cyber-security-update…
ics-cert@hq.dhs.gov
https://www.cisa.gov/news-events/ics-advisories/icsa-26-106-04
ics-cert@hq.dhs.gov