ICS-CERT informuje o nowych podatnościach w produktach firmy Schneider Electric. (P26-115)
cert.pse-online.pl 5 dni temu
Produkt
Schneider Electric Plant iT/Brewmaxx – wersja 9.60 i nowsze
Numer CVE
CVE-2025-49844
Krytyczność
9.9/10
CVSS
AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis
Produkt, którego dotyczy problem, wykorzystuje Redis, bazę danych w pamięci o otwartym kodzie źródłowym. Wersje 8.2.1 i starsze pozwalają uwierzytelnionemu użytkownikowi na użycie specjalnie opracowanego skryptu Lua do manipulowania modułem zbierającym śmieci, uruchomienia procedury „use-after-free” i potencjalnie do zdalnego wykonania kodu.
Numer CVE
CVE-2025-46817
Krytyczność
7.0/10
CVSS
AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis
Produkt, którego dotyczy problem, wykorzystuje Redis, bazę danych w pamięci o otwartym kodzie źródłowym. Wersje 8.2.1 i starsze pozwalają uwierzytelnionemu użytkownikowi na użycie specjalnie opracowanego skryptu Lua, który powoduje przepełnienie całkowitoliczbowe i potencjalnie prowadzi do zdalnego wykonania kodu.
Numer CVE
CVE-2025-46818
Krytyczność
6.0/10
CVSS
AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N
Opis
Dotknięty problemem produkt wykorzystuje Redis, bazę danych w pamięci o otwartym kodzie źródłowym. Wersje 8.2.1 i starsze pozwalają uwierzytelnionemu użytkownikowi na użycie specjalnie opracowanego skryptu Lua do manipulowania różnymi obiektami LUA i potencjalnie uruchamiania własnego kodu w kontekście innego użytkownika.
Numer CVE
CVE-2025-46819
Krytyczność
6.3/10
CVSS
AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:H
Opis
Dotknięty tym problemem produkt wykorzystuje Redis, bazę danych w pamięci o otwartym kodzie źródłowym. Wersje 8.2.1 i starsze pozwalają uwierzytelnionemu użytkownikowi na użycie specjalnie opracowanego skryptu LUA w celu odczytania danych spoza zakresu lub spowodowania awarii serwera i późniejszej odmowy usługi.
