Mar, 11/07/2023 – 10:19
- Afectado Ășnicamente por CVE-2023-29414:
- Accutech Manager, versiones 2.7 y anteriores.
- Afectado por CVE-2023-37196, CVE-2023-37197, CVE-2023-37198 y CVE-2023-37199:
- StruxureWare Data Center Expert (DCE), versiones 7.9.3 y anteriores.
Diversos investigadores han reportado a Schneider Electric 3 vulnerabilidades de severidad alta y 2 de severidad media, cuya explotaciĂłn podrĂa permitir a un atacante realizar una escalada de privilegios.
Schneider Electric ha lanzado distintos parches para solucionar las vulnerabilidades descritas:
- Accutech Manager: actualizar a la versiĂłn 2.8;
- StruxureWare Data Center Expert: actualizar a la versiĂłn 8.0.
Las vulnerabilidades de severidad alta se describen a continuaciĂłn:
- Dos vulnerabilidades de neutralizaciĂłn inadecuada de elementos especiales utilizados en un comando SQL (SQL Injection), que podrĂan permitir a un usuario ya autenticado en el DCE acceder a contenido no autorizado, cambiar o eliminar contenido, o realizar acciones no autorizadas al manipular la configuraciĂłn de alertas de los puntos finales en el DCE o al manipular los ajustes de configuraciĂłn masivas de los endpoints en el DCE. Se han asignado respectivamente los identificadores CVE-2023-37196 y CVE-2023-37197 para estas vulnerabilidades.
- Existe una vulnerabilidad de copia del bĂșfer sin comprobar el tamaño de la entrada (desbordamiento clĂĄsico del bĂșfer), que podrĂa permitir una escalada de privilegios de usuario, si un usuario local envĂa una cadena de entrada especĂfica a una llamada de funciĂłn local. Se ha asignado el identificador CVE-2023-29414 para esta vulnerabilidad.
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.