Schneider Electric informuje o nowych podatnościach w swoich produktach. (P25-007)

utworzone przez | sty 17, 2025 | ICS

ProduktModuły komunikacyjne Modicon M580 BMENOC0321 < SV1.10
Moduły komunikacyjne Modicon M580 BMECRA31210 wszystkie
Moduły komunikacyjne Modicon M580/Quantum BMXCRA31200 wszystkie
Moduły komunikacyjne Modicon M580/Quantum BMXCRA31210 wszystkie
Moduły komunikacyjne Modicon Quantum 140CRA31200 wszystkie
Moduły komunikacyjne Modicon Quantum 140CRA31908 wszystkie
Numer CVECVE-2021-29999
Krytyczność9.8/10
CVSSAV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
OpisSchneider Electric jest świadomy luki w zabezpieczeniach systemu operacyjnego VxWorks firmy Wind River. Wielu dostawców, w tym Schneider Electric, osadza VxWorks w swoich ofertach. Jeśli zostaną one skutecznie wykorzystane, luki te mogą spowodować utratę poufności, integralności i odmowę usługi w produktach BMENOC0321, BMECRA i 140CRA, które są modułami komunikacyjnymi dla kontrolerów Modicon M580 i Quantum
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-03.pdf
ProduktSchneider Electric Data Center Expert: 8.1.1.3 i wcześniejsze wersje
Numer CVECVE-2024-8531
Krytyczność7.2/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
OpisIstnieje podatność na nieprawidłową weryfikację podpisu kryptograficznego, która może narazić oprogramowanie Data Center Expert na niebezpieczeństwo, gdy pakiet aktualizacji zostanie zmodyfikowany tak, aby zawierał dowolne skrypty powłoki wykonywane jako root.
  
Numer CVECVE-2024-8530
Krytyczność5.9/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
OpisIstnieje luka w zabezpieczeniach dotycząca braku uwierzytelniania dla funkcji krytycznych, która może spowodować ujawnienie prywatnych danych w przypadku bezpośredniego dostępu do wygenerowanego już archiwum „logcaptures” za pomocą protokołu HTTPS.
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-25-016-08
ProduktSchneider Electric EcoStruxure™ Power Monitoring Expert (PME) 2021: wszystkie wersje przed 2021 CU1
Schneider Electric EcoStruxure™ Power Monitoring Expert (PME) 2020: wszystkie wersje przed 2020 CU3
Schneider Electric EcoStruxure™ Power Operation (EPO) 2022: wszystkie wersje przed 2022 CU4
Schneider Electric EcoStruxure™ Power Operation (EPO) 2022 – moduł Advanced Reporting and Dashboards: wszystkie wersje przed 2022 CU4
Schneider Electric EcoStruxure™ Power Operation (EPO) 2021: wszystkie wersje przed 2021 CU3 Hotfix 2
Schneider Electric EcoStruxure™ Power Operation (EPO) 2021 – moduł Advanced Reporting and Dashboards: wszystkie wersje przed 2021 CU3 Hotfix 2
Schneider Electric EcoStruxure™ Power SCADA Operation 2020 (PSO) — moduł zaawansowanego raportowania i pulpitów nawigacyjnych: wszystkie wersje
Numer CVECVE-2024-8401
Krytyczność5.4/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
OpisLuka w zabezpieczeniach polegająca na nieprawidłowej neutralizacji danych wejściowych podczas generowania strony internetowej (tzw. atak Cross-site Scripting) występuje, gdy uwierzytelniony atakujący modyfikuje nazwy folderów w kontekście produktu.
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-25-014-03
ProduktSchneider Electric Vijeo Designer: wszystkie wersje przed 6.3 SP1
Numer CVECVE-2024-8306
Krytyczność7.8/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
OpisIstnieją luki w zabezpieczeniach związane z nieprawidłowym zarządzaniem uprawnieniami, które mogą spowodować nieautoryzowany dostęp, utratę poufności, integralności i dostępności stacji roboczej, jeśli użytkownicy bez uprawnień administratora podejmą próbę podniesienia uprawnień poprzez manipulację plikami binarnymi.
  
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-25-014-02