Schneider Electric informuje o nowych podatnościach w swoich produktach oraz aktualizuje starsze.(P23-116)

cert.pse-online.pl 1 rok temu

13 czerwca 2023 r. firma Schneider Electric opublikowała Poradniki dotyczące bezpieczeństwa dotyczące luk w następujących produktach:

EcoStruxure Foxboro DCS Control Core Services — wersje przed aktualizacją HF9857795

EcoStruxure Operator Terminal Expert — wersja 3.3 SP1 i wcześniejsze

Foxboro SCADA – wszystkie wersje

IGSS Dashboard – wersja v16.0.0.23130 i wcześniejsze

Pro-face BLUE – wersja 3.3 SP1 i wcześniejsze

CVEOpisProdukt i wersjaŹródło
CVE-2023-1049​CWE-94: luka w zabezpieczeniach dotycząca niewłaściwej kontroli generowania kodu („wstrzykiwanie kodu”)• EcoStruxure Operator Terminal Expert (wersja 3.3 SP1 i wcześniejsze) • Pro-face BLUE (wersja 3.3 SP1 i wcześniejsze)LINK
CVE-2023-3001CWE-502: Deserializacja niezaufanych danych• Pulpit nawigacyjny IGSS (DashBoard.exe) (wersja 16.0.0.23130 i wcześniejsze)LINK
Firma Schneider Electric jest świadoma luki w komponencie AVEVA InTouch, który jest częścią produktu Foxboro SCADA.• Foxboro SCADA (wszystkie wersje)LINK
CVE-2023-2569CWE-787:Zapis poza zakresem• EcoStruxure Foxboro DCS Control Core Services (wszystkie wersje przed poprawką HF9857795)LINK
​CVE-2023-2570CWE-129: Nieprawidłowa walidacja indeksu tablicy
CVE-2023-29411CWE-306: Brak uwierzytelnienia dla funkcji krytycznej• Oprogramowanie do monitorowania online APC Easy UPS (wersja 2.5-GA-01-22320 i wcześniejsze (Windows 10, 11 Windows Server 2016, 2019, 2022))LINK
CVE-2023-29412CWE-78: Niewłaściwa obsługa rozróżniania wielkości liter• Oprogramowanie Schneider Electric Easy UPS do monitorowania online (wersja 2.5-GS-01-22320 i wcześniejsze (Windows 10, 11 Windows Server 2016, 2019, 2022)) * Znane jako oprogramowanie do monitorowania zasilaczy UPS serii Schneider SP w Chinach.
CVE-2023-29413CWE-306: Brak uwierzytelnienia dla funkcji krytycznej
Idź do oryginalnego materiału