As versões do ToolboxST anteriores à versão 7.10 são afetadas por uma vulnerabilidade de desserialização. Um invasor com acesso local a uma IHM, ou que tenha conduzido um ataque de engenharia social em um operador autorizado, poderia executar o código no contexto de um usuário da Caixa de ferramentas por meio da desserialização de um arquivo de configuração não confiável.
Os clientes são aconselhados a atualizar para o ToolboxST 7.10 , que pode ser encontrado no ControlST 7.10. Se não for possível atualizar neste momento, os clientes devem garantir que estão seguindo as orientações estabelecidas no Guia de Implantação Segura da GE Gas Power (GEH-6839). Os clientes devem garantir que não estejam executando o ToolboxST como usuário administrativo.
CVE-2023-1552
GE
Caixa de ferramentasST
6.4
A Team82 tem o compromisso de relatar, de forma privada, vulnerabilidades aos fornecedores afetados de maneira coordenada e oportuna, a fim de garantir a segurança do ecossistema de cibersegurança em todo o mundo. Para se envolver com o fornecedor e a comunidade de pesquisa, a Team82 convida você a baixar e compartilhar nossa Política de divulgação coordenada. A Team82 aderirá a esse processo de divulgação e relatório quando descobrirmos vulnerabilidades em produtos e serviços.
A Team82 também disponibilizou sua chave PGP pública para que o fornecedor e a comunidade de pesquisa troquem informações de vulnerabilidade e pesquisa conosco com segurança.
