11 kwietnia 2023 r. firma Schneider Electric opublikowała zalecenia dotyczące bezpieczeństwa dotyczące luk w zabezpieczeniach wielu produktów.
Numer CVE | CVSS | Opis | Produkt/Wersja | Link |
CVE-2022-4224, CVE-2023-28355, CVE-2022-4046 | 8.8 7.8 8.8 | CWE-668: Ekspozycja zasobów na niewłaściwą sferę | • Kontrolery PacDrive 3: LMC Eco/Pro/Pro2 (wszystkie wersje) • Kontroler PacDrive LMC078 (wszystkie wersje) • Kontroler Modicon M241 (wszystkie wersje) • Kontroler Modicon M251 (wszystkie wersje) • Kontroler Modicon M262 (wszystkie wersje) • Kontroler Modicon M258 (wszystkie wersje) • Kontroler Modicon LMC058 (wszystkie wersje) • Kontroler Modicon M218 (wszystkie wersje) • Kontroler HMISCU (wszystkie wersje) | LINK |
CVE-2023-29410 | 7.2 | CWE-20: Nieprawidłowa walidacja danych wejściowych | • InsightHome (wersja 1.16, kompilacja 004 i wcześniejsze) • InsightFacility (wersja 1.16, wersja 004 i wcześniejsze) • Conext™ Gateway (wycofany w 2019 r.) (wersja 1.16, kompilacja 004 i wcześniejsze) | LINK |
CVE-2023-1548, CVE-2023-27976 | 8.8 5.5 | CWE-668: Ekspozycja zasobów na niewłaściwą sferę, CWE-269: Niewłaściwe zarządzanie uprawnieniami | • EcoStruxure™ Control Expert (wersje V15.1 i nowsze) | LINK |
CVE-2023-29411, CVE-2023-29412 | 9.8 9.8 | CWE-306: Brak uwierzytelnienia dla funkcji krytycznej, CWE-78: Niewłaściwa obsługa rozróżniania wielkości liter | • Oprogramowanie do monitorowania online APC Easy UPS (wersja 2.5-GA-01-22320 i wcześniejsze (Windows 10, 11 Windows Server 2016, 2019, 2022)) | LINK |
CVE-2023-25619, CVE-2023-25620 | 7.5 6.5 | CWE-754: Niewłaściwa kontrola nietypowych lub wyjątkowych warunków | • Oprogramowanie do monitorowania online Schneider Electric Easy UPS (wersja 2.5-GS-01-22320 i wcześniejsze (Windows 10, 11 Windows Server 2016, 2019, 2022)) | LINK |
CVE-2022-34755 | 6.3 | CWE-427 Niekontrolowany element ścieżki poszukiwań | • Easergy Builder installer (Version 1.7.23 and older) | LINK |
CVE-2022-45788 | 7.5 | CWE-754: Niewłaściwa kontrola nietypowych lub wyjątkowych warunków | • EcoStruxure™ Control Expert (wszystkie wersje) • EcoStruxure™ Process Expert (wersja V2020 i starsze) • Modicon M340 CPU (numery katalogowe BMXP34*) (wszystkie wersje) • Modicon M580 CPU (numery katalogowe BMEP* i BMEH*) (wszystkie wersje) • Modicon M580 CPU Safety (numery katalogowe BMEP58*S i BMEH58*S) (wszystkie wersje) • Procesor Modicon Momentum Unity M1E (171CBU*) (wszystkie wersje) • Modicon MC80 (BMKC80) (wszystkie wersje) • Starsze procesory Modicon Quantum (140CPU65*) i Premium (TSXP57*) (wszystkie wersje) | LINK |
CVE-2022-0221 | 5.5 | CWE-611: Niewłaściwe ograniczenie odwołania do jednostki zewnętrznej XML | • SCADAPack Workbench (wersja 6.6.8a i wcześniejsze) | LINK |
CVE-2021-33485, CVE-2021-29241, CVE-2021-29240, CVE-2021-21863, CVE-2021-21864, CVE-2021-21865, CVE-2021-21866, CVE-2021-21867, CVE-2021-21868, CVE-2021-21869 | Wiele luk w zabezpieczeniach | • M241/M251 (wszystkie wersje) • EcoStruxure Machine Expert (wszystkie wersje) • Seria Harmony/Magelis HMISTU, seria HMIGTO, seria HMIGTU, seria HMIGTUX, seria HMIGK, seria HMISCU, Vijeo Designer (V6.2 SP11 Hotfix 3 i wcześniejsze) • Eurotherm E+PLC100 (wszystkie wersje) • Eurotherm E+PLC400 (wersja 1.3.0.1 i wcześniejsze) • Narzędzia Eurotherm E+PLC (wersja 1.3.0.1 i wcześniejsze) • Seria Easy Harmony ET6 HMIET (Vijeo Designer Basic V1.2.1 i nowsze) • Seria Easy Harmony GXU HMIGXU (Vijeo Designer Basic V1.2.1 i nowsze) | LINK |