W dniu 9 stycznia 2024 r. firma Schneider Electric opublikowała porady dotyczące bezpieczeństwa, w których zwraca uwagę na lukę w następującym produkcie:
Easergy Studio – wersja 9.3.5 i wcześniejsze
Numer CVE | Opis | Produkt I wersja | Link |
CVE-2023-7032 | CWE-502: Deserializacja niezaufanych danych | • Easergy Studio (wersje wcześniejsze niż 9.3.50) | SEVD-2024-009-02 PDF |
Firma Schneider Electric jest świadoma wielu luk w zabezpieczeniach serwera komunikacyjnego systemu wykonawczego CODESYS V3. | • Kontroler HMISCU • Kontroler Modicon LMC058 • Kontroler Modicon LMC078 • Kontroler Modicon M218 • Kontroler Modicon M241 • Kontroler Modicon M251 • Kontroler Modicon M258 • Kontroler Modicon M262 • Kontrolery PacDrive 3: LMC Eco/Pro/Pro2 • SoftSPS wbudowany w EcoStruxure Machine Expert • Vijeo Designer wbudowany w EcoStruxure Machine Expert • Harmony (dawniej Magelis) Seria HMIGK/HMIGTO/HMIGTU/HMIGTUX/HMISTU, seria iPC ze środowiskiem wykonawczym Vijeo Designer • Easy Harmony HMIET6/HMIFT6 • Seria Magelis HMIGXU, XBT | SEVD-2023-192-04 (V3.0) PDF | |
CVE-2023-1548 CVE-2023-27976 | CWE-668: Ekspozycja zasobów na niewłaściwą sferę CWE-269: Niewłaściwe zarządzanie uprawnieniami | • Ekspert w zakresie sterowania EcoStruxure (wersje V16.0 i nowsze) | SEVD-2023-101-03 (V2.0) PDF |
CVE-2022-4224 CVE-2023-28355 CVE-2022-4046 | CWE-668: Ekspozycja zasobów na niewłaściwą sferę | • Kontroler HMISCU • Kontroler Modicon M241 • Kontroler Modicon M251 • Kontroler Modicon M262 • Kontroler Modicon M258 • Kontroler Modicon LMC058 • Kontroler Modicon M218 • Kontrolery PacDrive 3: LMC Eco/Pro/Pro2 • Kontroler PacDrive LMC078 | SEVD-2023-101-01 (V2.0) PDF |
CVE-2022-45789 | CWE-294: Obejście uwierzytelniania poprzez lukę w zabezpieczeniach umożliwiającą ponowne odtwarzanie przechwytywania. | • EcoStruxure Control Expert • EcoStruxure Process Expert • Procesor Modicon M340 (numer części BMXP34*) • Procesor Modicon M580 (numery katalogowe BMEP* i BMEH*) • Bezpieczeństwo procesora Modicon M580 (numery części BMEP58*S i BMEH58*S) • Procesor Modicon Momentum Unity M1E (171CBU*)• Modicon MC80 (BMKC80) | SEVD-2023-010-06 (V4.0) PDF |
CVE-2020-25176 CVE-2020-25178 CVE-2020-25182 CVE-2020-25184 CVE-2020-25180 | Schneider Electric jest świadomy licznych luk w zabezpieczeniach ISaGRAF ujawnionych w normie IEC 61131-3 Narzędzia programowania i inżynierii. | • Easergy T300 • Easergy C5 • MiCOM C264 • PACiS GTW • EPAS GTW • SCADAPack 300E RTU • SCADAPack 53xE RTU • SCADAPack Workbench • Procesor Modicon M340 (numer części BMXP34*) • Procesor Modicon M580 (numer katalogowy BMEP* i BMEH*) • Bezpieczeństwo oszczędne Modicon M580 (numer części BMEP58*S i BMEH58*S) • Procesor Modicon Momentum Unity M1E (171CBU*) | SEVD-2021-159-04 (V6.0) PDF |
CVE-2019-6833 | CWE-754 – Niewłaściwa kontrola pod kątem nietypowych lub wyjątkowych warunków | • Seria Harmony/Magelis HMIGK • Seria Harmony/Magelis HMIGTO • Seria Harmony/Magelis HMISTO (koniec komercjalizacji) • Harmony/Magelis) seria HMIGTU • Seria Harmony/Magelis HMIGTUX • Seria Harmony/Magelis HMIGXO (koniec komercjalizacji) • Seria Harmony/Magelis HMIGXU • Seria Harmony/Magelis HMISCU • Seria Harmony/Magelis HMISTU • Seria Harmony/Magelis XBTGC • Seria Harmony/Magelis XBTGH • Seria Harmony/Magelis XBTGT (koniec komercjalizacji) | SEVD-2019-225-01 (V3.0) PDF |