Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación: 13/12/2022

Importancia:
Crítica

Recursos afectados:

  • APC Easy UPS Online Monitoring Software:
    • V2.5-GA y posteriores (Windows 7, 10, 11 Windows Server 2016, 2019, 2022),
    • V2.5-GA-01-22261 y posteriores (Windows 11, Windows Server 2019, 2022).
  • EcoStruxure Power Commission: V2.25 y posteriores.
  • SAITEL DR RTU: firmware desde Baseline_11.06.01 hasta Baseline_11.06.14

Descripción:

Schneider Electric ha detectado 6 vulnerabilidades: 2 de severidad crítica, 3 de severidad alta y 1 de severidad media. Estas vulnerabilidades podrían permitir a un atacante ejecutar código de forma remota, realizar una escalada de privilegios, evitar una autenticación para acceder a la aplicación o provocar una denegación de servicio.

Solución:

Se recomienda actualizar el software:

Detalle:

Las vulnerabilidades de severidad crítica podrían permitir a un atacante acceso, sin necesidad de autenticación, interactuar con una funcionalidad que requiere una identidad de usuario demostrable, lo que provocaría un gran consumo de recursos o cargar un archivo JSP malicioso produciendo una ejecución remota de código. Se han asignado los identificadores CVE-2022-42970 y CVE-2022-42971 para estas vulnerabilidades.

Las vulnerabilidades de severidad alta permiten al atacante una asignación de permisos que podría provocar una escalada de privilegios, el uso de credenciales codificadas que podría otorgar una escalada de privilegios locales cuando el atacante se conecta a la base de datos, o una autorización incorrecta que daría acceso no autorizado a ciertas funciones del software. Se han asignado los identificadores CVE-2022-42972, CVE-2022-42973, CVE-2022-4062 para estas vulnerabilidades.

Se ha asignado el identificador CVE-2020-6996 para la vulnerabilidad de severidad media.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Schneider Electric, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.