Schneider Electric informuje o nowych podatnościach w swoich produktach. (P24-296)

cert.pse-online.pl 3 miesięcy temu
Product• EcoStruxure Power Monitoring Expert (PME) 2021 • EcoStruxure Power Monitoring Expert (PME) 2020
• EcoStruxure Power Operation (EPO) 2022
• EcoStruxure Power Operation (EPO) 2022 – Advanced Reporting and Dashboards Module
• EcoStruxure Power Operation (EPO) 2021
• EcoStruxure Power Operation (EPO) 2021 – Advanced Reporting and Dashboards Modul
• EcoStruxure Power SCADA Operation 2020 (PSO)
CVECVE-2024-8401
Base score5.4/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
DetailsCWE-79: Luka w zabezpieczeniach związana z nieprawidłową neutralizacją danych wejściowych podczas generowania strony internetowej (tzw. „Cross-site scripting”) występuje, gdy uwierzytelniony atakujący modyfikuje nazwy folderów w kontekście produktu.
Patch availableTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-254-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-254-02.pdf
ProductVijeo Designer – wersja wcześniejsza niż V6.3 SP1
Vijeo Designer osadzony w EcoStruxure Machine Expert – wszystkie wersje
CVECVE-2024-8306
Base score7.8/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
DetailsCWE-269: Istnieje luka w zabezpieczeniach związana z nieprawidłowym zarządzaniem uprawnieniami, która może spowodować nieautoryzowany dostęp, utratę poufności, integralności i dostępności stacji roboczej, gdy użytkownik bez uprawnień administratora podejmie próbę podniesienia uprawnień poprzez manipulację plikami binarnymi.
Patch availableTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-254-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-254-01.pdf
Idź do oryginalnego materiału