Vulnerability Details : CVE-2019-6545
Potential exploit
AVEVA Software, LLC InduSoft Web Studio prior to Version 8.1 SP3 and InTouch Edge HMI (formerly InTouch Machine Edition) prior to Version 2017 Update. An unauthenticated remote user could use a specially crafted database connection configuration file to execute an arbitrary process on the server machine.
Products affected by CVE-2019-6545
- cpe:2.3:a:aveva:indusoft_web_studio:8.1:*:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:8.1:sp1:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:8.0:p3:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:8.0:sp1_p1:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:7.1:sp2:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:7.1:sp3_p1:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:7.1:sp3_p3:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:7.1:sp3_p8:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:7.1:sp3_p9:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:8.1:sp1_p1:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:8.0:p1:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:7.1:sp3_p4:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:7.1:sp3_p5:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:7.1:sp3_p6:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:7.1:sp3_p7:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:8.0:sp2:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:8.0:sp2_p1:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:8.0:*:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:7.1:sp1:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:6.1:sp6_p3:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:8.1:p1:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:8.0:p2:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:8.0:sp1:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:7.1:sp3:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:7.1:sp3_p2:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:7.1:*:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:6.1:sp5:*:*:*:*:*:*
- cpe:2.3:a:aveva:indusoft_web_studio:8.1:sp2:*:*:*:*:*:*
- cpe:2.3:a:aveva:intouch_machine_edition_2014:r2:*:*:*:*:*:*:*
Exploit prediction scoring system (EPSS) score for CVE-2019-6545
0.37%
Probability of exploitation activity in the next 30 days
EPSS Score History
~ 72 %
Percentile, the proportion of vulnerabilities that are scored at or less
CVSS scores for CVE-2019-6545
Base Score | Base Severity | CVSS Vector | Exploitability Score | Impact Score | Score Source | First Seen |
---|---|---|---|---|---|---|
5.0
|
MEDIUM | AV:N/AC:L/Au:N/C:N/I:P/A:N |
10.0
|
2.9
|
NIST | |
7.5
|
HIGH | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
3.9
|
3.6
|
NIST |
CWE ids for CVE-2019-6545
-
The product receives input from an upstream component, but it does not restrict or incorrectly restricts the input before it is used as an identifier for a resource that may be outside the intended sphere of control.Assigned by: ics-cert@hq.dhs.gov (Secondary)
References for CVE-2019-6545
-
https://ics-cert.us-cert.gov/advisories/ICSA-19-036-01
AVEVA InduSoft Web Studio and InTouch Edge HMI | CISAMitigation;Third Party Advisory;US Government Resource
-
https://www.exploit-db.com/exploits/46342/
Indusoft Web Studio 8.1 SP2 - Remote Code ExecutionExploit;Third Party Advisory;VDB Entry
-
https://www.tenable.com/security/research/tra-2019-04
Indusoft Web Studio and InTouch Edge HMI Remote Code Execution - Research Advisory | TenableĀ®Third Party Advisory
Jump to