| Produkt | Schneider Electric Power Logic: v0.62.7 (CVE-2024-10497) Schneider Electric Power Logic: v0.62.7 i wcześniejsze (CVE-2024-10498) |
| Numer CVE | CVE-2024-10497 |
| Krytyczność | 8,8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Istnieje luka w zabezpieczeniach polegająca na obejściu autoryzacji dzięki klucza kontrolowanego przez użytkownika, która może umożliwić autoryzowanemu atakującemu modyfikację wartości poza tymi zdefiniowanymi przez jego uprawnienia (podniesienie uprawnień), gdy atakujący wysyła zmodyfikowane żądania HTTPS do urządzenia. |
| Numer CVE | CVE-2024-10498 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
| Opis | Istnieje luka w zabezpieczeniach polegająca na niewłaściwym ograniczeniu operacji w granicach bufora pamięci, która może umożliwić nieautoryzowanemu atakującemu modyfikację wartości konfiguracji poza normalnym zakresem, gdy atakujący wysyła określone pakiety zapisu Modbus do urządzenia, co może skutkować nieprawidłowymi danymi lub utratą funkcjonalności interfejsu internetowego. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/news-events/ics-advisories/icsa-25-028-02 |
| Produkt | RemoteConnect: Wszystkie wersje SCADAPack x70 Utilities: Wszystkie wersje |
| Numer CVE | CVE-2024-12703 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| Opis | Istnieje luka w zabezpieczeniach związana z deserializacją niezaufanych danych, która może prowadzić do utraty poufności, integralności, a także potencjalnego zdalnego wykonania kodu na stacji roboczej, gdy użytkownik bez uprawnień administratora otworzy złośliwy plik projektu. |
| Aktualizacja | TAK |
| Link | https://www.cisa.gov/news-events/ics-advisories/icsa-25-028-06 |
