Schneider Electric informuje o nowych podatnościach w swoich produktach.(P24-227)

utworzone przez | lip 11, 2024 | ICS

ProduktKontroler Wiser Home WHC-5918A – wszystkie wersje
Numer CVECVE-2024-6407
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisCWE-200: Istnieje luka w zabezpieczeniach umożliwiająca ujawnienie informacji, która może spowodować ujawnienie danych uwierzytelniających po wysłaniu do urządzenia specjalnie spreparowanej wiadomości.
  
AktualizacjaNIE
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-01.pdf
ProduktEcoStruxureTM Foxboro DCS Core Control Services wersja 9.8 I wcześniejsze
Numer CVECVE-2024-5679
Krytyczność7,1/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
OpisCWE-787: Istnieje luka w zabezpieczeniach umożliwiająca zapis poza granicami, która może spowodować lokalną odmowę usługi lub wyciek pamięci jądra, gdy złośliwy aktor z dostępem użytkownika lokalnego utworzy skrypt/program przy użyciu wywołania IOCTL w sterowniku Foxboro.sys.
  
Numer CVECVE-2024-5680
Krytyczność7,1/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
OpisCWE-129: Istnieje luka w zabezpieczeniach dotycząca nieprawidłowej weryfikacji indeksu tablicy, która może spowodować lokalną odmowę usługi, gdy złośliwy aktor z dostępem użytkownika lokalnego utworzy skrypt/program przy użyciu wywołania IOCTL w sterowniku Foxboro.sys.
  
Numer CVECVE-2024-5681
Krytyczność7.8/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisCWE-20: Istnieje luka w zabezpieczeniach dotycząca nieprawidłowego sprawdzania danych wejściowych, która może spowodować lokalną odmowę usługi, eskalację uprawnień i potencjalne wykonanie jądra, gdy złośliwy aktor z dostępem użytkownika lokalnego stworzy skrypt/program przy użyciu wywołania IOCTL w sterowniku Foxboro.sys.
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-02.pdf
ProduktFoxRTU Station wszystkie wersje przed v9.3.0
Numer CVECVE-2024-2602
Krytyczność7.3/10
CVSSAV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
OpisCWE-22: Niewłaściwe ograniczenie nazwy ścieżki do katalogu z ograniczeniami („Path Traversal”), która może skutkować zdalnym wykonaniem kodu, gdy uwierzytelniony użytkownik wykona zapisany plik projektu, który został zmodyfikowany przez złośliwego aktora.
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-03.pdf
ProduktModicon Controllers M241 / M251 – wszystkie wersje
Modicon Controllers M258 / LMC058 – wszystkie wersje
Modicon Controllers M262 – wszystkie wersje
Numer CVECVE-2024-6528
Krytyczność5.4/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
OpisCWE-79: Istnieje luka w zabezpieczeniach dotycząca niewłaściwej neutralizacji danych wejściowych podczas generowania strony internetowej („Cross-site Scripting”), która może powodować lukę prowadzącą do stanu wykonywania skryptów między witrynami, w wyniku którego atakujący mogą spowodować, że przeglądarka ofiary uruchomi dowolny kod JavaScript podczas odwiedzania strony zawierający wstrzyknięty ładunek.
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-04.pdf