Schneider Electric informuje o nowych podatnościach w swoich produktach. (P25-219)

cert.pse-online.pl 5 dni temu
ProduktEcoStruxure IT Data Center Expert w wersjach v8.3 i starszych
Numer CVECVE-2025-50121
Krytyczność10/10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach Nieprawidłowa Neutralizacja Specjalnych Elementów używanych w Poleceniu OS (’Wstrzyknięcie Poleceń OS’), która może spowodować nieuwierzytelnione zdalne wykonanie kodu, gdy złośliwy folder zostanie utworzony przez interfejs sieciowy HTTP, gdy jest włączony. HTTP jest domyślnie wyłączony.
Numer CVECVE-2025-50122
Krytyczność8.3/10
CVSSAV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach typu „niewystarczająca entropia”, która może spowodować odkrycie hasła roota, gdy algorytm generowania hasła zostanie poddany inżynierii wstecznej z dostępem do artefaktów instalacji lub aktualizacji.
Numer CVECVE-2025-50123
Krytyczność7.2/10
CVSSAV:P/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach związana z nieprawidłową kontrolą generowania kodu („wstrzykiwaniem kodu”), która może spowodować zdalne wykonanie polecenia przez konto uprzywilejowane, gdy dostęp do serwera odbywa się za pośrednictwem konsoli i poprzez wykorzystanie wprowadzonej nazwy hosta
Numer CVECVE-2025-50125
Krytyczność7.2/10
CVSSAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
OpisIstnieje luka w zabezpieczeniach SSRF (Server-Side Request Forgery), która może spowodować zdalne wykonanie nieuwierzytelnionego kodu, gdy dostęp do serwera następuje za pośrednictwem sieci z wiedzą o ukrytych adresach URL i manipulacją nagłówka żądania hosta.
Numer CVECVE-2025-50124
Krytyczność6.9/10
CVSSAV:P/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach związana z nieprawidłowym zarządzaniem uprawnieniami, która może spowodować eskalację uprawnień, gdy dostęp do serwera uzyskuje się z konta uprzywilejowanego za pośrednictwem konsoli i poprzez wykorzystanie skryptu konfiguracyjnego.
Numer CVECVE-2025-6438
Krytyczność6.8/10
CVSSAV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
OpisIstnieje luka w zabezpieczeniach związana z nieprawidłowym ograniczeniem odniesień do zewnętrznych encji XML, która może spowodować manipulację wywołaniami interfejsu API SOAP i wstrzyknięcie zewnętrznych encji XML, co może skutkować nieautoryzowanym dostępem do plików, gdy dostęp do serwera następuje za pośrednictwem sieci przy użyciu konta aplikacji.
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-189-01&p_enDocType=Security+an+d+Safety+Notice&p_File_Name=SEVD-2025-189-01.pdf
ProduktSystem Monitor application in Harmony Industrial PC HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEP series – wszystkie wersje
System Monitor application in Pro-face Industrial PC PS5000 series – wszystkie wersje
Numer CVECVE-2020-11023
Krytyczność6.9/10
CVSSAV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N
OpisW wersjach jQuery od 1.0.3 i starszych niż 3.5.0 przekazywanie kodu HTML zawierającego elementy <option> z niezaufanych źródeł (nawet po jego oczyszczeniu) do jednej z metod jQuery manipulujących modelem DOM (np. .html(), .append() i innych) może spowodować wykonanie niezaufanego kodu.
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-189-02&p_enDocType=Security+an+d+Safety+Notice&p_File_Name=SEVD-2025-189-02.pdf
ProduktEcoStruxure Power Monitoring Expert (PME) – wersje 2023, 2023 R2, 2024, 2024 R2; Moduł zaawansowanych raportów i pulpitów nawigacyjnych
EcoStruxure Power Operation (EPO) – wersja 2022 z zaawansowanym modułem raportowania, wersja 2024 z zaawansowanym modułem raportowania
Numer CVECVE-2025-6788
Krytyczność4.3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
OpisIstnieje luka w zabezpieczeniach polegająca na narażeniu zasobów na niewłaściwą sferę kontrolną, która naraża zasoby diagramów TGML na niewłaściwą sferę kontrolną, umożliwiając innym uwierzytelnionym użytkownikom potencjalnie niewłaściwy dostęp do diagramów TGML.
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-189-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-189-04.pdf
Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. Schneider Electric informuje o nowych podatnościach w swoich produktach. (P25-219)

Powiązane

Bleak Pairing – niewidzialny wróg Bluetooth. Jak luka w BLE obnaża słabość miliardów urządzeń

Bleak Pairing – niewidzialny wróg Bluetooth. Jak luka w BLE ...

3 dni temu
Krajobraz zagrożeń 30/06-06/07/25

Krajobraz zagrożeń 30/06-06/07/25

6 dni temu
CitrixBleed II – kolejny błąd powodujący, iż serwer zwraca więcej danych niż powinien

CitrixBleed II – kolejny błąd powodujący, iż serwer zwraca w...

6 dni temu
Podatność w oprogramowaniu SUR-FBD CMMS

Podatność w oprogramowaniu SUR-FBD CMMS

1 tydzień temu
Luka w WordPress Forminator zagraża ponad 400 000 witryn

Luka w WordPress Forminator zagraża ponad 400 000 witryn

1 tydzień temu
Krytyczna podatność w Sudo (CVE-2025-32462/CVE-2025-32463) – potrzebna jest aktualizacja

Krytyczna podatność w Sudo (CVE-2025-32462/CVE-2025-32463) –...

1 tydzień temu
Linux informuje nowych podatnościach (P25-212)

Linux informuje nowych podatnościach (P25-212)

1 tydzień temu
Odkryto szereg nowych podatności na protokół integracji narzędzi AI – Model Context Protocol, wszystkie mogą doprowadzić do wycieku danych z modelu LLM

Odkryto szereg nowych podatności na protokół integracji narz...

1 tydzień temu
Google publikuje pilną aktualizację bezpieczeństwa. Łata krytyczną podatność w Chrome

Google publikuje pilną aktualizację bezpieczeństwa. Łata kry...

1 tydzień temu