| Produkt | ION8650 (wszystkie wersje) ION8800 (wszystkie wersje) |
| Numer CVE | CVE-2023-5984 |
| Krytyczność | 7.2/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| Opis | Istnieje luka w zabezpieczeniach umożliwiająca pobranie kodu bez sprawdzania integralności zmodyfikowane oprogramowanie sprzętowe do przesłania, gdy autoryzowany administrator rozpocznie procedurę aktualizacji systemu sprzętowego |
| Numer CVE | CVE-2023-5985 |
| Krytyczność | 4.8/10 |
| CVSS | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
| Opis | Luka w zabezpieczeniach dotycząca nieprawidłowej neutralizacji danych wejściowych podczas generowania strony internetowej istnieje, co może spowodować naruszenie bezpieczeństwa przeglądarki użytkownika, gdy osoba atakująca z uprawnieniami administratora zmieni wartości systemowe. |
| Aktualizacja | TAK |
| Link | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-318-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-318-01.pdf |
| Product | EcoStruxure Power Monitoring Expert (PME) 2021 przed CU2 EcoStruxure Power Monitoring Expert (PME) 2020 przed CU3 Advanced Reporting and Dashboards Module 2021 przed CU2 dla EcoStruxure Power Operation 2021 Moduł zaawansowanego raportowania i pulpitów nawigacyjnych 2020 przed CU3 EcoStruxure Power SCADA Operation (PSO) 2020 lub 2020 R2 |
| Numer CVE | CVE-2023-5986 |
| Krytyczność | 8.2/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N |
| Opis | Istnieje luka w zabezpieczeniach dotycząca przekierowania adresu URL do niezaufanej witryny, która może spowodować lukę w zabezpieczeniach openredirect prowadzącą do ataku typu cross-site scripting. Podając zakodowany adres URL, atakujący mogą spowodować przekierowanie aplikacji internetowej systemu do wybranej domeny po pomyślnym zalogowaniu. |
| Numer CVE | CVE-2023-5987 |
| Krytyczność | 6.1/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| Opis | Luka w zabezpieczeniach dotycząca nieprawidłowej neutralizacji danych wejściowych podczas generowania strony internetowej (skrypty między witrynami), która może powodować lukę prowadzącą do stanu wykonywania skryptów między witrynami, w wyniku którego napastnicy mogą spowodować, iż przeglądarka ofiary uruchomi dowolny kod JavaScript podczas odwiedzania strony zawierającej wstrzyknięty ładunek |
| Aktualizacja | TAK |
| Link | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-318-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-318-02.pdf |
| Produkt | Galaxy VS v6.82 Galaxy VL v12.21 |
| Numer CVE | CVE-2023-6032 |
| Krytyczność | 5.3/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Opis | Istnieje luka w zabezpieczeniach związana z nieprawidłowym ograniczeniem nazwy ścieżki do katalogu z ograniczeniami („przechodzenie ścieżki”), która może spowodować wyliczenie systemu plików i pobranie pliku, gdy osoba atakująca przejdzie do karty zarządzającej Network Management Card za pośrednictwem protokołu HTTPS. |
| Aktualizacja | TAK |
| Link | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-318-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-318-03.pdf |
