Múltiples vulnerabilidades en productos Schneider Electric
Fecha de publicación
09/06/2021
Importancia
5 - Crítica
Recursos Afectados
- IGSS Definition (Def.exe), versión V15.0.0.21041 y anteriores;
- PM5560, versiones anteriores a V2.7.8;
- PM5561, versiones anteriores a V10.7.3;
- PM5562, versión V2.5.4 y anteriores;
- PM5563, versiones anteriores a V2.7.8;
- PM8ECC, todas las versiones;
- EGX100, todas las versiones;
- EGX300, todas las versiones;
- Easergy T300, versiones V2.7.1 y anteriores;
- Easergy C5, versiones hasta la 1.0.x y la versión ISaGRAF embebida 5.2 y anteriores;
- MiCOM C264, versiones hasta la D6.x con la versión embebida ISaGRAF 5.2 y anteriores;
- PACiS GTW y EPAS GTW, todos los puntos de acceso que soporten ISaGRAF 5.2 y anteriores;
- Saitel DP, versión 11.06.21 y anteriores;
- Saitel DR, versión 11.06.12 y anteriores;
- SCADAPack 300E RTU, firmware 8.18.1 y anteriores;
- SCADAPack 53xE RTU, firmware 8.18.1 y anteriores;
- SCADAPack Workbench, firmware 6.6.8 y anteriores;
- CP-3/MC-31, SCD2200 firmware versión 10024 y anteriores;
- SAGE RTU, C3414 CPU, C3413 CPU, C3412 CPU, todas las versiones de firmware;
- Modicon X80 BMXNOR0200H RTU SV1.70 IR22 y anteriores;
- Enerlin’X Com’X, versiones anteriores a la V6.8.4.
Descripción
Schneider ha publicado un total de 28 vulnerabilidades, siendo 4 de severidad crítica, 19 altas y 5 medias.
Solución
Actualizar a las versiones descritas en la sección Remediation de cada aviso, o en caso de que el producto afectado sea EOL, seguir las medidas plasmadas en el apartado Mitigations.
Detalle
- La vulnerabilidad de severidad crítica se refiere a una validación inadecuada de los datos de entrada que podría permitir a un atacante la denegación del servicio o la ejecución remota de código a través de un paquete HTTP especialmente diseñado. Se han asignado los identificadores CVE-2021-22765, CVE-2021-22767 y CVE-2021-22768.
- Se han asignado los identificadores CVE-2021-22750, CVE-2021-22751, CVE-2021-22752, CVE-2021-22753, CVE-2021-22754, CVE-2021-22755, CVE-2021-22756, CVE-2021-22757, CVE-2021-22758, CVE-2021-22759, CVE-2021-22760, CVE-2021-22761, CVE-2021-22762, CVE-2021-22763, CVE-2021-22766 y CVE-2021-22769 para las vulnerabilidades de severidad alta.
- Se han asignado los identificadores CVE-2021-22764 y CVE-2021-22749 para las vulnerabilidades de severidad media.
- Adicionalmente se han reservado los identificadores CVE-2020-25176, CVE-2020-25178, CVE-2020-25182, CVE-2020-25184 y CVE-2020-25180.
Listado de referencias
Etiquetas