Múltiples vulnerabilidades en productos Schneider Electric
Fecha de publicación 11/10/2022
Identificador
INCIBE-2022-0960
Importancia
4 - Alta
Recursos Afectados
- Versión 3.3 Hotfix 1 y anteriores de:
- EcoStruxure™ Operator Terminal Expert,
- Pro-face BLUE.
- EcoStruxure™ Panel Server Box (PAS900), versión 3.1.16 y anteriores.
- SAGE RTU C3414 CPU, versiones de firmware anteriores a C3414-500-S02K5_P5.
- SAGE RTU C3413, C3412 CPU, todas las versiones de firmware.
- EcoStruxure™ Power SCADA Operation 2020, versiones 2020 y 2020 CU1.
- EcoStruxure™ Power SCADA Operation 2020 R2, versiones 2020 R2 anteriores a CU1.
- EcoStruxure™ Power Operation 2021, versiones 2021, 2021 CU1 y 2021 CU2.
Descripción
Schneider Electric ha publicado 12 vulnerabilidades, siendo 9 de severidad alta y 3 medias.
Solución
Consultar la sección Remediation/Mitigation/Remediations de los avisos del fabricante para aplicar las medidas de mitigación y/o actualizaciones en los productos afectados.
Detalle
La explotación de las vulnerabilidades de severidad alta podría permitir a un atacante realizar:
- ejecución de código malicioso (CVE-2022-41666, CVE-2022-41667, CVE-2022-41668, CVE-2022-41669 y CVE-2022-41670, CVE-2022-41671);
- escrituras arbitrarias en archivos (CVE-2022-30790);
- acceder a información, modificar configuraciones o repercutir en la disponibilidad del software (CVE-2022-22727).
Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-30552, CVE-2022-2463, CVE-2022-2464 y CVE-2022-2465.
Listado de referencias
Etiquetas