Schneider Electric informuje o nowych podatnościach w swoich produktach.(P23-277)

utworzone przez | paź 10, 2023 | ICS

ProduktEcoStruxure™ Power Monitoring Expert (PME) — wszystkie wersje — przed zastosowaniem poprawki Hotfix-145271 EcoStruxure™ Power Operation (EPO) z zaawansowanymi raportami – wszystkie wersje – przed zastosowaniem poprawki Hotfix-145271 EcoStruxure™ Power SCADA Operation z zaawansowanymi raportami
Numer CVECVE-2023-5391
Krytyczność9.8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisCWE-502: Istnieje luka w zabezpieczeniach dotycząca deserializacji niezaufanych danych, która może pozwolić osobie atakującej na wykonanie dowolnego kodu w docelowym systemie poprzez wysłanie specjalnie spreparowanego pakietu do aplikacji.
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-283-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-283-02.pdf
ProduktSpaceLogic C-Bus Toolkit  wersja 1.16.3 i wcześniejsze
Numer CVECVE-2023-5402
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisWystępuje luka w zabezpieczeniach CWE-269: Niewłaściwe zarządzanie uprawnieniami, która może spowodować zdalne wykonanie kodu, gdy polecenie przesyłania zostanie użyte w sieci.
  
Numer CVECVE-2023-5399
Krytyczność9,8/10
CVSSV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach CWE-22: Niewłaściwe ograniczenie nazwy ścieżki do katalogu z ograniczeniami („Path Traversal”), która może powodować manipulowanie plikami na komputerze osobistym z uruchomioną magistralą C-Bus podczas korzystania z polecenia Plik
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-283-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-283-01.pdf