Schneider Electric informuje o nowych podatnościach w swoich produktach.(P23-277)
cert.pse-online.pl 1 rok temu
Produkt
EcoStruxure Power Monitoring Expert (PME) — wszystkie wersje — przed zastosowaniem poprawki Hotfix-145271 EcoStruxure Power Operation (EPO) z zaawansowanymi raportami – wszystkie wersje – przed zastosowaniem poprawki Hotfix-145271 EcoStruxure Power SCADA Operation z zaawansowanymi raportami
Numer CVE
CVE-2023-5391
Krytyczność
9.8/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis
CWE-502: Istnieje luka w zabezpieczeniach dotycząca deserializacji niezaufanych danych, która może pozwolić osobie atakującej na wykonanie dowolnego kodu w docelowym systemie poprzez wysłanie specjalnie spreparowanego pakietu do aplikacji.
SpaceLogic C-Bus Toolkit wersja 1.16.3 i wcześniejsze
Numer CVE
CVE-2023-5402
Krytyczność
9,8/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis
Występuje luka w zabezpieczeniach CWE-269: Niewłaściwe zarządzanie uprawnieniami, która może spowodować zdalne wykonanie kodu, gdy polecenie przesyłania zostanie użyte w sieci.
Numer CVE
CVE-2023-5399
Krytyczność
9,8/10
CVSS
V:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis
Istnieje luka w zabezpieczeniach CWE-22: Niewłaściwe ograniczenie nazwy ścieżki do katalogu z ograniczeniami („Path Traversal”), która może powodować manipulowanie plikami na komputerze osobistym z uruchomioną magistralą C-Bus podczas korzystania z polecenia Plik