Schneider Electric informuje o nowych podatnościach w swoich produktach. (P25-219)

utworzone przez | lip 9, 2025 | ICS

ProduktEcoStruxure™ IT Data Center Expert w wersjach v8.3 i starszych
Numer CVECVE-2025-50121
Krytyczność10/10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach Nieprawidłowa Neutralizacja Specjalnych Elementów używanych w Poleceniu OS (’Wstrzyknięcie Poleceń OS’), która może spowodować nieuwierzytelnione zdalne wykonanie kodu, gdy złośliwy folder zostanie utworzony przez interfejs sieciowy HTTP, gdy jest włączony. HTTP jest domyślnie wyłączony.
  
Numer CVECVE-2025-50122
Krytyczność8.3/10
CVSSAV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach typu „niewystarczająca entropia”, która może spowodować odkrycie hasła roota, gdy algorytm generowania hasła zostanie poddany inżynierii wstecznej z dostępem do artefaktów instalacji lub aktualizacji.
  
Numer CVECVE-2025-50123
Krytyczność7.2/10
CVSSAV:P/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach związana z nieprawidłową kontrolą generowania kodu („wstrzykiwaniem kodu”), która może spowodować zdalne wykonanie polecenia przez konto uprzywilejowane, gdy dostęp do serwera odbywa się za pośrednictwem konsoli i poprzez wykorzystanie wprowadzonej nazwy hosta
  
Numer CVECVE-2025-50125
Krytyczność7.2/10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
OpisIstnieje luka w zabezpieczeniach SSRF (Server-Side Request Forgery), która może spowodować zdalne wykonanie nieuwierzytelnionego kodu, gdy dostęp do serwera następuje za pośrednictwem sieci z wiedzą o ukrytych adresach URL i manipulacją nagłówka żądania hosta.
  
Numer CVECVE-2025-50124
Krytyczność6.9/10
CVSSAV:P/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach związana z nieprawidłowym zarządzaniem uprawnieniami, która może spowodować eskalację uprawnień, gdy dostęp do serwera uzyskuje się z konta uprzywilejowanego za pośrednictwem konsoli i poprzez wykorzystanie skryptu konfiguracyjnego.
  
Numer CVECVE-2025-6438
Krytyczność6.8/10
CVSSAV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
OpisIstnieje luka w zabezpieczeniach związana z nieprawidłowym ograniczeniem odniesień do zewnętrznych encji XML, która może spowodować manipulację wywołaniami interfejsu API SOAP i wstrzyknięcie zewnętrznych encji XML, co może skutkować nieautoryzowanym dostępem do plików, gdy dostęp do serwera następuje za pośrednictwem sieci przy użyciu konta aplikacji.
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-189-01&p_enDocType=Security+an%20d+Safety+Notice&p_File_Name=SEVD-2025-189-01.pdf
ProduktSystem Monitor application in Harmony Industrial PC HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEP series – wszystkie wersje
System Monitor application in Pro-face Industrial PC PS5000 series – wszystkie wersje
Numer CVECVE-2020-11023
Krytyczność6.9/10
CVSSAV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N
OpisW wersjach jQuery od 1.0.3 i starszych niż 3.5.0 przekazywanie kodu HTML zawierającego elementy <option> z niezaufanych źródeł (nawet po jego oczyszczeniu) do jednej z metod jQuery manipulujących modelem DOM (np. .html(), .append() i innych) może spowodować wykonanie niezaufanego kodu.
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-189-02&p_enDocType=Security+an%20d+Safety+Notice&p_File_Name=SEVD-2025-189-02.pdf
ProduktEcoStruxure™ Power Monitoring Expert (PME) – wersje 2023, 2023 R2, 2024, 2024 R2; Moduł zaawansowanych raportów i pulpitów nawigacyjnych
EcoStruxure™ Power Operation (EPO) – wersja 2022 z zaawansowanym modułem raportowania, wersja 2024 z zaawansowanym modułem raportowania
Numer CVECVE-2025-6788
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OpisIstnieje luka w zabezpieczeniach polegająca na narażeniu zasobów na niewłaściwą sferę kontrolną, która naraża zasoby diagramów TGML na niewłaściwą sferę kontrolną, umożliwiając innym uwierzytelnionym użytkownikom potencjalnie niewłaściwy dostęp do diagramów TGML.
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-189-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-189-04.pdf