| Produkt | Kontrolery Modicon M241/M251 – wersje wcześniejsze niż 5.3.12.51 Kontrolery Modicon M262 – wersje wcześniejsze niż 5.3.9.18 Kontrolery Modicon M258/LMC058 – wszystkie wersje |
| Numer CVE | CVE-2025-3898 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | CWE-20: Istnieje luka w zabezpieczeniach związana z nieprawidłową walidacją danych wejściowych, która może spowodować odmowę usługi, gdy uwierzytelniony złośliwy użytkownik wyśle żądanie HTTPS zawierające nieprawidłowy typ danych do serwera WWW |
| Numer CVE | CVE-2025-3899 |
| Krytyczność | 5,4/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Opis | CWE-79: Istnieje luka w zabezpieczeniach związana z nieprawidłową neutralizacją danych wejściowych podczas generowania strony WWW (’Cross-site Scripting’) na stronie Certyfikaty na serwerze WWW, która może spowodować, iż niezweryfikowane dane wstrzyknięte przez uwierzytelnionego złośliwego użytkownika doprowadzą do modyfikacji lub odczytu danych w przeglądarce ofiary. |
| Numer CVE | CVE-2025-3112 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | CWE-400: Istnieje luka w zabezpieczeniach związana z niekontrolowanym zużyciem zasobów, która może spowodować odmowę usługi, gdy uwierzytelniony złośliwy użytkownik wyśle zmanipulowany nagłówek HTTPS Content-Length do serwera WWW. |
| Numer CVE | CVE-2025-3905 |
| Krytyczność | 5,4/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Opis | CWE-79: Istnieje luka w zabezpieczeniach związana z nieprawidłową neutralizacją danych wejściowych podczas generowania strony internetowej („Cross-site Scripting”), która ma wpływ na zmienne systemowe PLC i może spowodować, iż niezweryfikowane dane wstrzyknięte przez uwierzytelnionego złośliwego użytkownika doprowadzą do modyfikacji lub odczytu danych w przeglądarce ofiary. |
| Numer CVE | CVE-2025-3116 |
| Krytyczność | 6,5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | CWE-20: Istnieje luka w zabezpieczeniach związana z nieprawidłową walidacją danych wejściowych, która może spowodować odmowę usługi, gdy uwierzytelniony złośliwy użytkownik wyśle do kontrolera specjalne nieprawidłowo sformatowane żądanie HTTPS zawierające nieprawidłowo sformatowane dane treści. |
| Numer CVE | CVE-2025-3117 |
| Krytyczność | 5,4/10 |
| CVSS | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| Opis | CWE-79: Istnieje luka w zabezpieczeniach związana z nieprawidłową neutralizacją danych wejściowych podczas generowania strony internetowej („Cross-site Scripting”), która ma wpływ na ścieżki plików konfiguracyjnych i może spowodować, iż niezweryfikowane dane wstrzyknięte przez uwierzytelnionego złośliwego użytkownika doprowadzą do modyfikacji lub odczytu danych w przeglądarce ofiary. |
| Aktualizacja | TAK |
| Link | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-161-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-161-02.pdf |
Schneider Electric informuje o nowych podatnościach w swoich produktach. (P25-182)
Powiązane
ClamAV łata krytyczną podatność
3 dni temu
Ataki na popularne routery TP-Link
1 tydzień temu
Krajobraz zagrożeń 09/06-16/06/25
1 tydzień temu
Krajobraz zagrożeń 02/06-08/06/25
2 tygodni temu
RHEL 10 – kolejna wersja komercyjnego Linuxa
2 tygodni temu
