9 maja 2023 r. firma Schneider Electric opublikowała Poradniki dotyczące bezpieczeństwa dotyczące luk w następujących produktach:
EcoStruxure Power Operation — wersje 2022, 2021 CU3 i wcześniejsze
EcoStruxure Power SCADA Operation – wersja 2020 i wcześniejsze
OPC Factory Server – wersje wcześniejsze niż V3.63SP2
PowerLogic ION7400 / PM8000 / ION9000 – wiele wersji i platform
Power SCADA Anywhere – wersja 1.1 i 1.2
Numer CVE |
CVSS |
Opis |
Produkt/Wersja |
Link |
CVE-2023-2161 |
5.0 |
CWE-611: Niewłaściwe ograniczenie odwołania do jednostki zewnętrznej XML |
• OPC Factory Server (OFS) (wersja przed V3.63SP2) |
|
– |
Firma Schneider Electric jest świadoma istnienia wielu luk w produkcie AVEVA Plant SCADA, który jest częścią produktów EcoStruxure Power Operation, EcoStruxure Power SCADA Operation. |
• EcoStruxure Power Operation (wersja 2022, wersje 2021 CU3 i wcześniejsze) • Obsługa EcoStruxure Power SCADA (wersje 2020 R2 i wcześniejsze) |
||
CVE-2022-46680 |
8.8 |
CWE-319: Przesyłanie poufnych informacji jawnym tekstem |
• PowerLogic ION9000, PowerLogic ION7400, PowerLogic PM8000 (sprzed wersji 4.0.0) • PowerLogic ION8650 (wszystkie wersje) • PowerLogic ION8800 (wszystkie wersje) • Starsze produkty ION (wszystkie wersje) |
|
– |
Firma Schneider Electric jest świadoma istnienia wielu luk w oprogramowaniu AVEVA Plant SCADA Access Anywhere, które jest opcjonalnym elementem produktów EcoStruxureTM Power Operation lub EcoStruxureTM Power SCADA Operation. |
• EcoStruxureTM Power Operation lub EcoStruxureTM Power SCADA Operation skonfigurowany z Power SCADA Anywhere (Power SCADA Anywhere w wersji 1.1 i 1.2) |
||
CVE-2021-31400, CVE-2021-31401, CVE-2020-35683, CVE-2020-35684, CVE-2020-35685 |
– |
Firma Schneider Electric jest świadoma wielu luk w komponencie innej firmy NicheStack TCP/IP firmy HCC Embedded, który jest zintegrowany z modułem komunikacyjnym Lexium ILE, ILA, ILS firmy Schneider Electric, modułem komunikacyjnym Altivar Profinet (VW3A3627), modułem komunikacyjnym Altivar i Lexium Ethernet TCP/IP (VW3A3616). ) oraz Altivar Profinet – karta komunikacyjna (VW3A3327). |
• Wersja systemu układowego Lexium ILE ILA ILS (V01.110 i wcześniejsze) |
Link |
– |
– |
Firma Schneider Electric jest świadoma istnienia wielu luk w alokacji pamięci, nazwanych „BadAlloc”, ujawnionych przez firmę Microsoft 29 kwietnia 2021 r. Skuteczne wykorzystanie luk może skutkować odmową usługi lub zdalnym wykonaniem kodu, w zależności od kontekstu. |
– |