| Produkt | Modicon M340 Wszystkie wersje Moduł sieciowy, Modicon M340, Modbus/TCP BMXNOE0100 Wszystkie wersje Moduł sieciowy, Modicon M340, Ethernet TCP/IP BMXNOE0110 Wszystkie wersje |
| Numer CVE | CVE-2024-5056 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
| Opis | CWE-552: Istnieje luka w zabezpieczeniach plików lub katalogów dostępnych dla stron zewnętrznych, która może uniemożliwić użytkownikowi aktualizację oprogramowania sprzętowego urządzenia i uniemożliwić prawidłowe zachowanie serwera WWW po usunięciu określonych plików lub katalogów z systemu plików. |
| Aktualizacja | NIE |
| Link | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-163-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-163-01.pdf |
| Produkt | PowerLogic P5 wersja 01.500.101 i starsze |
| Numer CVE | CVE-2024-5559 |
| Krytyczność | 6,1/10 |
| CVSS | AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H |
| Opis | CWE-327: Występuje luka w zabezpieczeniach uszkodzonego lub ryzykownego algorytmu kryptograficznego, która może spowodować odmowę usługi, ponowne uruchomienie urządzenia lub przejęcie przez osobę atakującą pełnej kontroli nad przekaźnikiem po wprowadzeniu specjalnie spreparowanego tokena resetowania na panelu przednim urządzenia. |
| Aktualizacja | TAK |
| Link | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-163-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-163-02.pdf |
| Produkt | SpaceLogic AS-P V5.0.3 i wcześniejsze SpaceLogic AS-B V5.0.3 i wcześniejsze |
| Numer CVE | CVE-2024-5558 |
| Krytyczność | 6,4/10 |
| CVSS | AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
| Opis | CWE-367: Występuje luka w zabezpieczeniach dotycząca warunku wyścigu w czasie sprawdzania (TOCTOU), która może spowodować eskalację uprawnień, gdy osoba atakująca nadużyje konta administratora z ograniczonymi uprawnieniami. |
| Numer CVE | CVE-2024-5557 |
| Krytyczność | 4,5/10 |
| CVSS | AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:nie dotyczy:nie |
| Opis | CWE-532: Istnieje luka w zabezpieczeniach dotycząca wstawiania poufnych informacji do pliku dziennika, która może spowodować ujawnienie poświadczeń SNMP, gdy osoba atakująca uzyska dostęp do dzienników kontrolera. |
| Aktualizacja | TAK |
| Link | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-163-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-163-04.pdf |
| Produkt | Sage 1410 Wersje C3414-500-S02K5_P8 i wcześniejsze Sage 1430 Wersje C3414-500-S02K5_P8 i wcześniejsze Sage 1450 Wersje C3414-500-S02K5_P8 i wcześniejsze Sage 2400 Wersje C3414-500-S02K5_P8 i wcześniejsze Sage 3030 Magnum Wersje C3414-500-S02K5_P8 i wcześniejsze Sage 4400 Wersje C3414-500-S02K5_P8 i wcześniejsze |
| Numer CVE | CVE-2024-37036 |
| Krytyczność | 9.8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | CWE-787: Występuje luka w zabezpieczeniach zapisu poza granicami, która może skutkować obejściem uwierzytelniania podczas wysyłania źle sformułowanego żądania POST i ustawiania określonych parametrów konfiguracyjnych. |
| Numer CVE | CVE-2024-37037 |
| Krytyczność | 8.1/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
| Opis | CWE-22: Niewłaściwe ograniczenie nazwy ścieżki do katalogu z ograniczeniami („Path Traversal’”), która może pozwolić uwierzytelnionemu użytkownikowi z dostępem do interfejsu sieciowego urządzenia na uszkodzenie plików i wpłynąć na funkcjonalność urządzenia podczas wysyłania spreparowanego żądania HTTP |
| Numer CVE | CVE-2024-37038 |
| Krytyczność | 7.8/10 |
| CVSS | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | CWE-276: Występuje luka w zabezpieczeniach nieprawidłowych uprawnień domyślnych, która może umożliwić uwierzytelnionemu użytkownikowi z dostępem do interfejsu internetowego urządzenia nieautoryzowane przesyłanie plików i oprogramowania sprzętowego podczas tworzenia niestandardowych żądań sieciowych. |
| Numer CVE | CVE-2024-37039 |
| Krytyczność | 5,9/10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/D:H |
| Opis | CWE-252: Istnieje luka w zabezpieczeniach dotycząca niesprawdzonej wartości zwrotnej, która może spowodować odmowę obsługi urządzenia, gdy osoba atakująca wyśle specjalnie spreparowane żądanie HTTP |
| Numer CVE | CVE-2024-37040 |
| Krytyczność | 5,4/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L |
| Opis | CWE-120: Istnieje luka w zabezpieczeniach dotycząca kopiowania bufora bez sprawdzania rozmiaru danych wejściowych („klasyczne przepełnienie bufora”), która może pozwolić użytkownikowi mającemu dostęp do interfejsu sieciowego urządzenia na spowodowanie błędu na urządzeniu podczas wysyłania zniekształconego żądania HTTP. |
| Numer CVE | CVE-2024-5560 |
| Krytyczność | 5,3/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| Opis | CWE-125: Występuje luka w zabezpieczeniach odczytu poza granicami, która może spowodować odmowę obsługi interfejsu sieciowego urządzenia, gdy osoba atakująca wyśle specjalnie spreparowane żądanie HTTP. |
| Aktualizacja | TAK |
| Link | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-163-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-163-05.pdf |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny