Múltiples vulnerabilidades en productos Schneider Electric
Fecha de publicación 14/11/2023
Importancia
4 - Alta
Recursos Afectados
- Todas las versiones de ION8650 e ION8800.
- EcoStruxure™ Power Monitoring Expert (PME), versiones:
- 2021 anteriores a CU2,
- 2020 anteriores a CU3.
- EcoStruxure™ Power Operation (EPO) y EcoStruxure™ Power SCADA Operation (PSO) que utilizan Advanced Reporting y Dashboards Module, versiones:
- 2021 anteriores a CU2 para EPO 2021,
- 2020 anteriores a CU3 para PSO 2020 o 2020 R2.
Descripción
Schneider Electric ha publicado información sobre 4 vulnerabilidades que afectan a varios productos: 2 de severidad alta y 2 medias. La explotación de estas vulnerabilidades podría permitir a un atacante modificar el comportamiento del dispositivo afectado, realizar ataques XSS, tomar el control de la cuenta o ejecutar código en el navegador de la víctima.
Solución
Detalle
Las vulnerabilidades de severidad alta se describen a continuación:
- Existe una vulnerabilidad de descarga de código sin comprobación de integridad que podría permitir la carga de firmware malicioso cuando un usuario administrador autorizado inicia un procedimiento de actualización de dicho firmware. Se ha asignado el identificador CVE-2023-5984 para esta vulnerabilidad.
- Existe una vulnerabilidad de redirección de URL a un sitio no fiable que podría causar una redirección abierta, provocando un XSS. Al proporcionar una entrada codificada con URL, un atacante podría hacer que la aplicación web del software redirigiese al dominio elegido después de realizar un inicio de sesión correcto. Se ha asignado el identificador CVE-2023-5986 para esta vulnerabilidad.
Listado de referencias
