КиберосноваSGRC
BDU:2020-05608
Низкий
Эксплойт

BDU:2020-05608: Уязвимость микропрограммного обеспечения программируемых логических контроллеров Schneider Electric Modicon Quantum, Schneider Electric Modicon M340, позволяющая нарушителю получить информацию о конфигурации SMTP-сервера, в том числе логины и пароли пользователей

CVSS v35.3
CVSS v22.1
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2020-05608

Описание

Уязвимость микропрограммного обеспечения программируемых логических контроллеров Schneider Electric Modicon Quantum, Schneider Electric Modicon M340 связана с ошибками механизмов безопасности. Эксплуатация уязвимости может позволить нарушителю получить информацию о конфигурации SMTP-сервера, в том числе логины и пароли пользователей с помощью специально сформированного заголовока HTTP-запроса

Что делать с BDU:2020-05608

Низкая уязвимость (CVSS 5.3) — устраните при плановом обновлении. Если уязвимый компонент не используется в критичных системах, риск минимален.

⚠ Для этой уязвимости существует публичный эксплойт — риск активной эксплуатации повышен. Устраните в первую очередь.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
5.3Средний
Пересчитать →
v2
2.1
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:NAV:L/AC:L/Au:N/C:P/I:N/A:N

CWE — тип уязвимости

CWE-425

CVE — международный идентификатор

CVE-2020-7541

Тактики и техники

Несанкционированный сбор информации

Уязвимое ПО (13)

ВендорНазваниеВерсияПлатформа
Schneider ElectricModicon M340BMXP34 до 3.30Не указана
Schneider ElectricModicon M340BMXNOE0100 (H) до 3.3Не указана
Schneider ElectricModicon M340BMXNOE0110 (H) до 6.5Не указана
Schneider ElectricModicon M340BMXNOC0401 (H) до 2.10Не указана
Schneider ElectricModicon PremiumTSXETY4103 до 6.2Не указана
Schneider ElectricModicon PremiumTSXETY5103 до 6.4Не указана
Schneider ElectricModicon Premium with integrated Ethernet COPROTSXP574634 до 6.1Не указана
Schneider ElectricModicon Premium with integrated Ethernet COPROTSXP575634 до 6.1Не указана
Schneider ElectricModicon Premium with integrated Ethernet COPROTSXP576634 до 6.1Не указана
Schneider ElectricModicon Quantum with integrated Ethernet COPRO140CPU65xx0 до 6.1Не указана
Schneider ElectricModicon Quantum140NOE771x1 до 7.1Не указана
Schneider ElectricModicon Quantum140NOC78x00 до 1.74Не указана
Schneider ElectricModicon Quantum140NOC77101 до 1.08Не указана

Рекомендации по устранению

Использование рекомендаций: https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-343-03_Web_Server_Modicon_M340_Premium_Quantum_Communication_Modules_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-343-03

Источники (1)

SLA ФСТЭК №117

30 дней

по базовой оценке CVSS 5.3

Уточните SLA под вашу среду

Базовый балл 5.3 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать

Низкий текущий риск. Устраните при плановом обновлении.

EPSS — вероятность эксплуатации0.3%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2013-05-15

Опубликована

2020-12-10

Обновлена

2024-11-28

Эксплойт

Существует

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2020-7541 MITRE: CWE-425 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2025-10625
Высокий
8.7

Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340 и сете

BDU:2025-00417
Высокий
8.8

Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340 и сете

BDU:2024-04748
Средний
6.5

Уязвимость микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340 и сете

BDU:2022-04998
Высокий
7.5

Уязвимость реализации протокола Modbus TCP микропрограммного обеспечения программируемых логических контроллеров Schneid

BDU:2022-04969
Критический
9.8

Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expe

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0