Тип ошибки:
CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
Вектор уязвимости:
- Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
- Уровень критичности уязвимости (CVSSv4.0): 9.4 (Critical)
Описание уязвимости:
В ПЛК Fastwel была выявлена проблема, затрагивающая версии ИМЕС.00320-03 Системы исполнения ПЛК (3.4.5.0 (CPM810-03), 3.4.9.1(СPM723-01)).
Обнаруженная уязвимость связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды операционной системы и повысить свои привилегии до уровня суперпользователя путем отправки специально созданного POST-запроса.
Статус уязвимости: Подтверждена производителем
Дата исправления уязвимости: 10.09.2025
Рекомендации:
Обновление до версий:
- CPM723-01 3.4.9.5
- CPM810-03 3.4.5.1
Прочая информация:
Исследователь: Максим Грузин, Константин Максимов (Positive Technologies)
Идентификаторы:
BDU:2025-11164
Вендор:
Fastwel
Уязвимый продукт:
CPM810-03, СPM723-01
Уязвимые версии:
3.4.5.0 (CPM810-03), 3.4.9.1 (СPM723-01)