Schneider Electric informuje o nowych podatnościach w swoich produktach.(P24-226)

cert.pse-online.pl 1 miesiąc temu

Produkt	Kontroler Wiser Home WHC-5918A – wszystkie wersje
Numer CVE	CVE-2024-6407
Krytyczność	9,8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	CWE-200: Istnieje luka w zabezpieczeniach umożliwiająca ujawnienie informacji, która może spowodować ujawnienie danych uwierzytelniających po wysłaniu do urządzenia specjalnie spreparowanej wiadomości.

Aktualizacja	NIE
Link	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-01.pdf

Produkt	EcoStruxureTM Foxboro DCS Core Control Services wersja 9.8 I wcześniejsze
Numer CVE	CVE-2024-5679
Krytyczność	7,1/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Opis	CWE-787: Istnieje luka w zabezpieczeniach umożliwiająca zapis poza granicami, która może spowodować lokalną odmowę usługi lub wyciek pamięci jądra, gdy złośliwy aktor z dostępem użytkownika lokalnego utworzy skrypt/program przy użyciu wywołania IOCTL w sterowniku Foxboro.sys.

Numer CVE	CVE-2024-5680
Krytyczność	7,1/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Opis	CWE-129: Istnieje luka w zabezpieczeniach dotycząca nieprawidłowej weryfikacji indeksu tablicy, która może spowodować lokalną odmowę usługi, gdy złośliwy aktor z dostępem użytkownika lokalnego utworzy skrypt/program przy użyciu wywołania IOCTL w sterowniku Foxboro.sys.

Numer CVE	CVE-2024-5681
Krytyczność	7.8/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	CWE-20: Istnieje luka w zabezpieczeniach dotycząca nieprawidłowego sprawdzania danych wejściowych, która może spowodować lokalną odmowę usługi, eskalację uprawnień i potencjalne wykonanie jądra, gdy złośliwy aktor z dostępem użytkownika lokalnego stworzy skrypt/program przy użyciu wywołania IOCTL w sterowniku Foxboro.sys.

Aktualizacja	TAK
Link	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-02.pdf

Produkt	FoxRTU Station wszystkie wersje przed v9.3.0
Numer CVE	CVE-2024-2602
Krytyczność	7.3/10
CVSS	AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Opis	CWE-22: Niewłaściwe ograniczenie nazwy ścieżki do katalogu z ograniczeniami („Path Traversal”), która może skutkować zdalnym wykonaniem kodu, gdy uwierzytelniony użytkownik wykona zapisany plik projektu, który został zmodyfikowany przez złośliwego aktora.

Aktualizacja	TAK
Link	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-03.pdf

Produkt	Modicon Controllers M241 / M251 – wszystkie wersje Modicon Controllers M258 / LMC058 – wszystkie wersje Modicon Controllers M262 – wszystkie wersje
Numer CVE	CVE-2024-6528
Krytyczność	5.4/10
CVSS	AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Opis	CWE-79: Istnieje luka w zabezpieczeniach dotycząca niewłaściwej neutralizacji danych wejściowych podczas generowania strony internetowej („Cross-site Scripting”), która może powodować lukę prowadzącą do stanu wykonywania skryptów między witrynami, w wyniku którego atakujący mogą spowodować, iż przeglądarka ofiary uruchomi dowolny kod JavaScript podczas odwiedzania strony zawierający wstrzyknięty ładunek.

Aktualizacja	TAK
Link	https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-04.pdf

Idź do oryginalnego materiału