Múltiples vulnerabilidades en productos de Schneider Electric
Fecha de publicación 12/12/2023
Importancia
5 - Crítica
Recursos Afectados
- Plant iT/Brewmaxx: v9.60 y posteriores (CVE-2022-0543).
- Trio Q-Series Ethernet Data Radio:
- versiones anteriores a 2.7.0 (CVE-2023-5629);
- todas las versiones (CVE-2023-5630).
- Trio E-Series Ethernet Data Radio:
- todas las versiones de modelos ER45e, EB45e, EH45e (CVE-2023-5629);
- todas las versiones (CVE-2023-5630).
- Trio J-Series Ethernet Data Radio: todas las versiones (CVE-2023-5629, CVE-2023-5630).
Descripción
Schneider Electric ha notificado 3 vulnerabilidades de severidad media, alta y crítica que podrían permitir una ejecución remota de código.
Solución
- Schneider Electric está estableciendo un plan de corrección para todas las futuras versiones de Plant iT que incluirá la corrección de la vulnerabilidad CVE-2022-0543.
- La versión 2.7.0 del firmware de Trio Q-Series Data Radio incluye una corrección para la vulnerabilidad CVE-2023-5629 y está disponible para su descarga. Los clientes sólo deben utilizar navegadores actualizados, para acceder a la página de inicio de sesión de Trio E and Q Series radios (Trio E-Series Ethernet Data Radio ha llegado al final de su vida útil y ya no recibe soporte.) Schneider Electric está estableciendo un plan de corrección para todas las versiones futuras de Trio J-Series Ethernet Data Radio.
- Los productos Trio Data Radios afectados por la vulnerabilidad (CVE-2023-5630) deben instalarse en lugares seguros (ver aviso oficial para más detalle).
Detalle
La vulnerabilidad crítica afecta a Redis, una base de datos persistente de key-value, debido a un problema de empaquetado y es propensa a un escape del sandbox de Lua (específico de Debian), lo que podría resultar en la ejecución remota de código. Se ha asignado el identificador CVE-2022-0543 para esta vulnerabilidad.
Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2023-5629.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2023-5630.
Etiquetas