13 czerwca 2023 r. firma Schneider Electric opublikowała Poradniki dotyczące bezpieczeństwa dotyczące luk w następujących produktach:
EcoStruxure Foxboro DCS Control Core Services — wersje przed aktualizacją HF9857795
EcoStruxure Operator Terminal Expert — wersja 3.3 SP1 i wcześniejsze
Foxboro SCADA – wszystkie wersje
IGSS Dashboard – wersja v16.0.0.23130 i wcześniejsze
Pro-face BLUE – wersja 3.3 SP1 i wcześniejsze
CVE | Opis | Produkt i wersja | Źródło |
CVE-2023-1049 | CWE-94: luka w zabezpieczeniach dotycząca niewłaściwej kontroli generowania kodu („wstrzykiwanie kodu”) | • EcoStruxure™ Operator Terminal Expert (wersja 3.3 SP1 i wcześniejsze) • Pro-face BLUE (wersja 3.3 SP1 i wcześniejsze) | LINK |
CVE-2023-3001 | CWE-502: Deserializacja niezaufanych danych | • Pulpit nawigacyjny IGSS (DashBoard.exe) (wersja 16.0.0.23130 i wcześniejsze) | LINK |
Firma Schneider Electric jest świadoma luki w komponencie AVEVA™ InTouch, który jest częścią produktu Foxboro SCADA. | • Foxboro SCADA (wszystkie wersje) | LINK | |
CVE-2023-2569 | CWE-787:Zapis poza zakresem | • EcoStruxure™ Foxboro DCS Control Core Services (wszystkie wersje przed poprawką HF9857795) | LINK |
CVE-2023-2570 | CWE-129: Nieprawidłowa walidacja indeksu tablicy | ||
CVE-2023-29411 | CWE-306: Brak uwierzytelnienia dla funkcji krytycznej | • Oprogramowanie do monitorowania online APC Easy UPS (wersja 2.5-GA-01-22320 i wcześniejsze (Windows 10, 11 Windows Server 2016, 2019, 2022)) | LINK |
CVE-2023-29412 | CWE-78: Niewłaściwa obsługa rozróżniania wielkości liter | • Oprogramowanie Schneider Electric Easy UPS do monitorowania online (wersja 2.5-GS-01-22320 i wcześniejsze (Windows 10, 11 Windows Server 2016, 2019, 2022)) * Znane jako oprogramowanie do monitorowania zasilaczy UPS serii Schneider SP w Chinach. | |
CVE-2023-29413 | CWE-306: Brak uwierzytelnienia dla funkcji krytycznej |