11 lipca 2023 r. firma Schneider Electric opublikowała zalecenia dotyczące bezpieczeństwa dotyczące luk w następujących produktach:
• Wersja Accutech Manager — wersja 2.7 i wcześniejsze
• EcoStruxure OPC UA Server Expert — wersje wcześniejsze niż SV2.01 SP2
• Sterownik HMISCU – wszystkie wersje
• Kontroler Modicon – wszystkie wersje
• Kontroler Modicon LMC058 – wszystkie wersje
• Sterownik Modicon M218 – wszystkie wersje
• Sterownik Modicon M241 – wszystkie wersje
• Sterownik Modicon M251 – wszystkie wersje
• Sterownik Modicon M258 – wszystkie wersje
• Sterownik Modicon M262 – wszystkie wersje
• Kontrolery PacDrive 3: LMC Eco/Pro/Pro2 – wszystkie wersje
• Oprogramowanie SoftSPS wbudowane w EcoStruxure Machine Expert — wszystkie wersje
• StruxureWare Data Center Expert — wersja 7.9.3 i wcześniejsze
| CVE | Opis | Produkt/Wersja | Link |
| CVE-2023-37196, CVE-2023-37197, CVE-2023-37198, CVE-2023-37199 | CWE-89: Niewłaściwa neutralizacja elementów specjalnych, CWE-94: Niewłaściwa kontrola generowania kodu | • StruxureWare Data Center Expert (obecnie znany jako EcoStruxure IT Data Center Expert) (wersja 7.9.3 i wcześniejsze) | Link |
| CVE-2023-37200 | CWE-611: Niewłaściwe ograniczenie odwołania do jednostki zewnętrznej XML | • EcoStruxure OPC UA Server Expert (wersje wcześniejsze niż SV2.01 SP2) | Link |
| CVE-2023-29414 | CWE-120:Kopiowanie bufora bez sprawdzania rozmiaru danych wejściowych (klasyczne przepełnienie bufora) | • Menedżer Accutech (wersja 2.7 i starsze) | Link |
| Firma Schneider Electric jest świadoma istnienia wielu luk w zabezpieczeniach serwera komunikacyjnego V3 systemu wykonawczego CODESYS. | • Zobacz Powiadomienie o zabezpieczeniach, aby uzyskać szczegółowe informacje o ofercie. | Link | |
| CVE-2023-28003 | • EcoStruxure Power Monitoring Expert 2022 | Link | |
| CVE-2022-45788 | CWE-613: Niewystarczające wygaśnięcie sesji | • EcoStruxure Control Expert (wszystkie wersje) • EcoStruxure Process Expert (wersja V2020 i wcześniejsze) • Modicon M340 CPU (numery katalogowe BMXP34*) (wszystkie wersje) • Modicon M580 CPU (numery katalogowe BMEP* i BMEH*) (wszystkie wersje) • Modicon M580 CPU Safety (numery katalogowe BMEP58*S i BMEH58*S) (wszystkie wersje) • Procesor Modicon Momentum Unity M1E (171CBU*) (wszystkie wersje) • Modicon MC80 (BMKC80) (wszystkie wersje) • Starsze procesory Modicon Quantum (140CPU65*) i Premium (TSXP57*) (wszystkie wersje) | Link |
| Zobacz link | Schneider Electric jest świadomy istnienia wielu luk w alokacji pamięci, nazwanych „BadAlloc”, ujawnionych przez Microsoft 29 kwietnia 2021 r. Pomyślne wykorzystanie luk może skutkować odmową usługi lub zdalnym wykonaniem kodu, w zależności od kontekstu. | Zobacz Powiadomienie o zabezpieczeniach, aby uzyskać szczegółowe informacje o ofercie. | Link |
| CVE-2021-22789, CVE-2021-22790, CVE-2021-22791, CVE-2021-22792 | CWE-119: Niewłaściwe ograniczenie operacji w granicach bufora pamięci, CWE-125: Odczyt poza zakresem, CWE-787: Zapis poza zakresem, CWE-476: Dereferencja wskaźnika NULL | • Modicon M580 CPU (numery części BMEP* i BMEH*, przed SV3.20) • Modicon M580 CPU Safety (numery katalogowe BMEP58*S i BMEH58*S, wszystkie wersje) • Modicon M340 CPU (numery katalogowe BMXP34*, wszystkie wersje) • Modicon MC80 (numery katalogowe BMKC80*, wszystkie wersje) • Modicon Momentum Ethernet CPU (numery katalogowe 171CBU*, wszystkie wersje) • Symulator PLC dla EcoStruxure Control Expert, w tym wszystkie wersje Unity Pro (wszystkie wersje) • Symulator PLC dla EcoStruxure Process Expert, w tym wszystkie wersje HDCS (wszystkie wersje) • Modicon Quantum CPU (numery części 140CPU*, wszystkie wersje) • Modicon Premium CPU (numery katalogowe TSXP5*, wszystkie wersje) | Link |
