Page 7 of 90 results (0.013 seconds)

CVSS: 7.5EPSS: 0%CPEs: 15EXPL: 0

Omron CS series, CJ series, and CP series PLCs through 2022-05-18 use cleartext passwords. They feature a UM Protection setting that allows users or system integrators to configure a password in order to restrict sensitive engineering operations (such as project/logic uploads and downloads). This password is set using the OMRON FINS command Program Area Protect and unset using the command Program Area Protect Clear, both of which are transmitted in cleartext. Los PLC de las series CS, CJ y CP de Omron versiones hasta 18-05-2022, usan contraseñas en texto sin cifrar. Disponen de un ajuste de protección de UM que permite a usuarios o a integradores de sistemas configurar una contraseña para restringir las operaciones de ingeniería confidenciales (como las cargas y descargas de proyectos/lógicas). • https://www.cisa.gov/uscert/ics/advisories/icsa-22-179-02 https://www.forescout.com/blog • CWE-319: Cleartext Transmission of Sensitive Information •

CVSS: 8.1EPSS: 0%CPEs: 113EXPL: 0

Use of hard-coded credentials vulnerability exists in Machine automation controller NJ series all models V 1.48 and earlier, Machine automation controller NX7 series all models V1.28 and earlier, Machine automation controller NX1 series all models V1.48 and earlier, Automation software 'Sysmac Studio' all models V1.49 and earlier, and Programmable Terminal (PT) NA series NA5-15W/NA5-12W/NA5-9W/NA5-7W models Runtime V1.15 and earlier, which may allow a remote attacker who successfully obtained the user credentials by analyzing the affected product to access the controller. Se presenta una vulnerabilidad de uso de credenciales embebidas en el controlador de automatización de Máquinas serie NJ todos los modelos Versiones 1.48 y anteriores, el controlador de automatización de Máquinas serie NX7 todos los modelos Versiones 1.28 y anteriores, el controlador de automatización de Máquinas serie NX1 todos los modelos Versiones 1.48 y anteriores, el software de automatización "Sysmac Studio" todos los modelos Versiones 1. 49 y anteriores, y Terminal programable (PT) serie NA5-15W/NA5-12W/NA5-9W/NA5-7W modelos Runtime Versiones 1.15 y anteriores, lo que puede permitir a un atacante remoto que haya obtenido con éxito las credenciales de usuario mediante el análisis del producto afectado acceder al controlador • https://jvn.jp/en/vu/JVNVU97050784/index.html https://www.ia.omron.com/product/vulnerability/OMSR-2022-001_en.pdf • CWE-798: Use of Hard-coded Credentials •

CVSS: 7.5EPSS: 0%CPEs: 104EXPL: 0

Authentication bypass by capture-replay vulnerability exists in Machine automation controller NX7 series all models V1.28 and earlier, Machine automation controller NX1 series all models V1.48 and earlier, and Machine automation controller NJ series all models V 1.48 and earlier, which may allow an adjacent attacker who can analyze the communication between the controller and the specific software used by OMRON internally to cause a denial-of-service (DoS) condition or execute a malicious program. Se presenta una vulnerabilidad de omisión de autenticación por captura-repetición en el controlador de automatización de Máquinas de la serie NX7 todos los modelos Versiones 1.28 y anteriores, en el controlador de automatización de Máquinas de la serie NX1 todos los modelos Versiones 1.48 y anteriores y en el controlador de automatización de Máquinas de la serie NJ todos los modelos Versiones 1.48 y anteriores, que puede permitir a un atacante adyacente que pueda analizar la comunicación entre el controlador y el software específico usado por OMRON internamente causar una condición de denegación de servicio (DoS) o ejecutar un programa malicioso • https://jvn.jp/en/vu/JVNVU97050784/index.html https://www.ia.omron.com/product/vulnerability/OMSR-2022-002_en.pdf • CWE-294: Authentication Bypass by Capture-replay •

CVSS: 8.1EPSS: 0%CPEs: 113EXPL: 0

Authentication bypass by capture-replay vulnerability exists in Machine automation controller NJ series all models V 1.48 and earlier, Machine automation controller NX7 series all models V1.28 and earlier, Machine automation controller NX1 series all models V1.48 and earlier, Automation software 'Sysmac Studio' all models V1.49 and earlier, and Programmable Terminal (PT) NA series NA5-15W/NA5-12W/NA5-9W/NA5-7W models Runtime V1.15 and earlier, which may allow a remote attacker who can analyze the communication between the affected controller and automation software 'Sysmac Studio' and/or a Programmable Terminal (PT) to access the controller. Se presenta una vulnerabilidad de omisión de autenticación por captura-repetición en el controlador de automatización de Máquinas de la serie NJ todos los modelos Versiones 1.48 y anteriores, el controlador de automatización de Máquinas de la serie NX7 todos los modelos Versiones 1.28 y anteriores, el controlador de automatización de Máquinas de la serie NX1 todos los modelos Versiones 1.48 y anteriores, el software de automatización "Sysmac Studio" todos los modelos Versiones 1. 49 y anteriores, y Terminal Programable (PT) serie NA5-15W/NA5-12W/NA5-9W/NA5-7W modelos Runtime Versiones 1.15 y anteriores, lo que puede permitir a un atacante remoto que pueda analizar la comunicación entre el controlador afectado y el software de automatización "Sysmac Studio" y/o un Terminal Programable (PT) acceder al controlador • https://jvn.jp/en/vu/JVNVU97050784/index.html https://www.ia.omron.com/product/vulnerability/OMSR-2022-001_en.pdf • CWE-294: Authentication Bypass by Capture-replay •

CVSS: 7.8EPSS: 1%CPEs: 1EXPL: 0

Omron CX-Position (versions 2.5.3 and prior) is vulnerable to multiple stack-based buffer overflow conditions while parsing a specific project file, which may allow an attacker to locally execute arbitrary code. Omron CX-Position (versiones 2.5.3 y anteriores) es vulnerable a múltiples condiciones de desbordamiento de búfer en la región stack de la memoria mientras analiza un archivo de proyecto específico, lo que puede permitir a un atacante ejecutar localmente código arbitrario This vulnerability allows remote attackers to execute arbitrary code on affected installations of Omron CX-One. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the parsing of NCI files in the CX-Position module. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a fixed-length stack-based buffer. An attacker can leverage this vulnerability to execute code in the context of the current process. • https://www.cisa.gov/uscert/ics/advisories/icsa-22-088-02 https://www.zerodayinitiative.com/advisories/ZDI-22-575 https://www.zerodayinitiative.com/advisories/ZDI-22-576 https://www.zerodayinitiative.com/advisories/ZDI-22-579 https://www.zerodayinitiative.com/advisories/ZDI-22-580 • CWE-121: Stack-based Buffer Overflow CWE-787: Out-of-bounds Write •