Vulnerabilidad en EcoStruxure Operator Terminal Expert y Pro-face BLUE (CVE-2022-41671)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
04/11/2022
Última modificación:
08/11/2022
Descripción
Existe una vulnerabilidad CWE-89: Neutralización inadecuada de elementos especiales utilizados en el comando SQL ('Inyección SQL') que permite a adversarios con privilegios de usuario local crear una consulta SQL maliciosa y ejecutarla como parte de la migración del proyecto, lo que podría resultar en la ejecución de código malicioso. Productos afectados: EcoStruxure Operator Terminal Expert (V3.3 Hotfix 1 o anterior), Pro-face BLUE (V3.3 Hotfix 1 o anterior).
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:schneider-electric:ecostruxure_operator_terminal_expert:*:*:*:*:*:*:*:* | 3.3 (excluyendo) | |
| cpe:2.3:a:schneider-electric:ecostruxure_operator_terminal_expert:3.3:-:*:*:*:*:*:* | ||
| cpe:2.3:a:schneider-electric:ecostruxure_operator_terminal_expert:3.3:hotfix1:*:*:*:*:*:* | ||
| cpe:2.3:a:schneider-electric:pro-face_blue:*:*:*:*:*:*:*:* | 3.3 (excluyendo) | |
| cpe:2.3:a:schneider-electric:pro-face_blue:3.3:-:*:*:*:*:*:* | ||
| cpe:2.3:a:schneider-electric:pro-face_blue:3.3:hotfix1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página