Múltiples vulnerabilidades en productos de Schneider Electric

Múltiples vulnerabilidades en productos de Schneider Electric
Mar, 11/07/2023 – 10:19

Recursos Afectados
  • Afectado únicamente por CVE-2023-29414:
    • Accutech Manager, versiones 2.7 y anteriores.
  • Afectado por CVE-2023-37196, CVE-2023-37197, CVE-2023-37198 y CVE-2023-37199:
    • StruxureWare Data Center Expert (DCE), versiones 7.9.3 y anteriores.
Descripción

Diversos investigadores han reportado a Schneider Electric 3 vulnerabilidades de severidad alta y 2 de severidad media, cuya explotación podría permitir a un atacante realizar una escalada de privilegios.

4 – Alta
Solución

Schneider Electric ha lanzado distintos parches para solucionar las vulnerabilidades descritas:

  • Accutech Manager: actualizar a la versión 2.8;
  • StruxureWare Data Center Expert: actualizar a la versión 8.0.
Detalle

Las vulnerabilidades de severidad alta se describen a continuación:

  • Dos vulnerabilidades de neutralización inadecuada de elementos especiales utilizados en un comando SQL (SQL Injection), que podrían permitir a un usuario ya autenticado en el DCE acceder a contenido no autorizado, cambiar o eliminar contenido, o realizar acciones no autorizadas al manipular la configuración de alertas de los puntos finales en el DCE o al manipular los ajustes de configuración masivas de los endpoints en el DCE. Se han asignado respectivamente los identificadores CVE-2023-37196 y CVE-2023-37197 para estas vulnerabilidades.
  • Existe una vulnerabilidad de copia del búfer sin comprobar el tamaño de la entrada (desbordamiento clásico del búfer), que podría permitir una escalada de privilegios de usuario, si un usuario local envía una cadena de entrada específica a una llamada de función local. Se ha asignado el identificador CVE-2023-29414 para esta vulnerabilidad.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.