Vulnerabilidad en EcoStruxure Operator Terminal Expert y Pro-face BLUE (CVE-2022-41668)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-704
Conversión de tipos errónea
Fecha de publicación:
04/11/2022
Última modificación:
05/11/2022
Descripción
Existe una vulnerabilidad CWE-704: Conversión de Proyecto Incorrecta que permite a adversarios con privilegios de usuario local cargar un archivo de proyecto desde un recurso compartido de red controlado por el adversario, lo que podría resultar en la ejecución de código malicioso. Productos afectados: EcoStruxure Operator Terminal Expert (V3.3 Hotfix 1 o anterior), Pro-face BLUE (V3.3 Hotfix 1 o anterior).
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:schneider-electric:ecostruxure_operator_terminal_expert:*:*:*:*:*:*:*:* | 3.3 (excluyendo) | |
| cpe:2.3:a:schneider-electric:ecostruxure_operator_terminal_expert:3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:schneider-electric:ecostruxure_operator_terminal_expert:3.3:hf1:*:*:*:*:*:* | ||
| cpe:2.3:a:schneider-electric:pro-face_blue:*:*:*:*:*:*:*:* | 3.3 (excluyendo) | |
| cpe:2.3:a:schneider-electric:pro-face_blue:3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:schneider-electric:pro-face_blue:3.3:hf1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página