9 maja 2023 r. firma Schneider Electric opublikowała Poradniki dotyczące bezpieczeństwa dotyczące luk w następujących produktach:
EcoStruxure Power Operation — wersje 2022, 2021 CU3 i wcześniejsze
EcoStruxure Power SCADA Operation – wersja 2020 i wcześniejsze
OPC Factory Server – wersje wcześniejsze niż V3.63SP2
PowerLogic ION7400 / PM8000 / ION9000 – wiele wersji i platform
Power SCADA Anywhere – wersja 1.1 i 1.2
Numer CVE | CVSS | Opis | Produkt/Wersja | Link |
CVE-2023-2161 | 5.0 | CWE-611: Niewłaściwe ograniczenie odwołania do jednostki zewnętrznej XML | • OPC Factory Server (OFS) (wersja przed V3.63SP2) | |
– | Firma Schneider Electric jest świadoma istnienia wielu luk w produkcie AVEVA™ Plant SCADA, który jest częścią produktów EcoStruxure™ Power Operation, EcoStruxure™ Power SCADA Operation. | • EcoStruxure™ Power Operation (wersja 2022, wersje 2021 CU3 i wcześniejsze) • Obsługa EcoStruxure™ Power SCADA (wersje 2020 R2 i wcześniejsze) | ||
CVE-2022-46680 | 8.8 | CWE-319: Przesyłanie poufnych informacji jawnym tekstem | • PowerLogic ION9000, PowerLogic ION7400, PowerLogic PM8000 (sprzed wersji 4.0.0) • PowerLogic ION8650 (wszystkie wersje) • PowerLogic ION8800 (wszystkie wersje) • Starsze produkty ION (wszystkie wersje) | |
– | Firma Schneider Electric jest świadoma istnienia wielu luk w oprogramowaniu AVEVA™ Plant SCADA Access Anywhere, które jest opcjonalnym elementem produktów EcoStruxureTM Power Operation lub EcoStruxureTM Power SCADA Operation. | • EcoStruxureTM Power Operation lub EcoStruxureTM Power SCADA Operation skonfigurowany z Power SCADA Anywhere (Power SCADA Anywhere w wersji 1.1 i 1.2) | ||
CVE-2021-31400, CVE-2021-31401, CVE-2020-35683, CVE-2020-35684, CVE-2020-35685 | – | Firma Schneider Electric jest świadoma wielu luk w komponencie innej firmy NicheStack TCP/IP firmy HCC Embedded, który jest zintegrowany z modułem komunikacyjnym Lexium ILE, ILA, ILS firmy Schneider Electric, modułem komunikacyjnym Altivar Profinet (VW3A3627), modułem komunikacyjnym Altivar i Lexium Ethernet TCP/IP (VW3A3616). ) oraz Altivar Profinet – karta komunikacyjna (VW3A3327). | • Wersja oprogramowania układowego Lexium ILE ILA ILS (V01.110 i wcześniejsze) | Link |
– | – | Firma Schneider Electric jest świadoma istnienia wielu luk w alokacji pamięci, nazwanych „BadAlloc”, ujawnionych przez firmę Microsoft 29 kwietnia 2021 r. Skuteczne wykorzystanie luk może skutkować odmową usługi lub zdalnym wykonaniem kodu, w zależności od kontekstu. | – |