Fecha de publicaciĂłn: 14/12/2021
Importancia:
CrĂtica
Recursos afectados:
- IGSS Data Colleca (dc.exe), V15.0.0.21320 y anterior;
- EVlink City EVC1S22P4 / EVC1S7P4, versiones anteriores a R8 V3.4.0.2;
- EVlink Parking EVW2 / EVF2 / EVP2PE, versiones anteriores a R8 V3.4.0.2;
- EVlink Smart Wallbox EVB1A, versiones anteriores a R8 V3.4.0.2;
- EcoStruxureâą Power Moniaing Expert 9.0 y anteriores;
- AP7xxxx y AP8xxx con NMC2, V6.9.6 o anteriores;
- AP7xxx y AP8xxx con NMC3, V1.1.0.3 o anteriores;
- APDU9xxx con NMC3, V1.0.0.28 o anteriores.
DescripciĂłn:
Schneider Electric ha reportado 11 vulnerabilidades, 1 crĂtica, 5 altas y 5 de severidad media, por las que un atacante podrĂa realizar una denegaciĂłn de servicio, el acceso no autorizado al servidor web de la estaciĂłn de carga, ejecuciĂłn de cĂłdigo arbitrario, ejecuciĂłn de cĂłdigo web malicioso o provocar el funcionamiento involuntario del dispositivo.
SoluciĂłn:
- IGSS Data Collector: versión 15.0.0.21321 del módulo IGSS DC. Disponible para su descarga a través de IGSS Master > Update IGSS Software o descargando el ZIP de actualizacion;
- EVlink City EVC1S22P4 / EVC1S7P4: actualizar el firmware;
- EVlink Parking EVW2 / EVF2 / EVP2PE: actualizar el firmware;
- EVlink Smart Wallbox EVB1A: actualizar el firmware;
- EcoStruxure⹠Power Monitoring actualzar a Expert 2020 o superior a través de su ISO;
- AP7xxxx y AP8xxx con NMC2 actualizar a V7.0.6.;
- AP7xxx y AP8xxx con NMC3 actualizar a V1.2.0.2;
- APDU9xxx con NMC3 actualizar a V1.2.0.2.
Detalle:
- Una vulnerabilidad de falsificaciĂłn de solicitudes del lado del servidor (SSRF) que podrĂa hacer que el servidor web de la estaciĂłn de carga reenvĂe solicitudes a objetivos de red no deseados cuando se envĂan parĂĄmetros maliciosos elaborados al servidor web de la estaciĂłn de carga Se ha asignado el identificador CVE-2021-22821 para esta vulnerabilidad de severidad crĂtica.
- Una vulnerabilidad de falsificaciĂłn de solicitud de sitio cruzado (CSRF) que podrĂa permitir a un atacante hacerse pasar por el usuario o realizar acciones en su nombre cuando se envĂan parĂĄmetros maliciosos en las solicitudes POST enviadas al servidor web de la estaciĂłn de carga. Se ha asignado el identificador CVE-2021-22724 para esta vulnerabilidad.
- Realizar acciones no deseadas cuando se envĂan parĂĄmetros maliciosos en solicitudes GET enviadas al servidor web de la estaciĂłn de carga. Se ha asignado el identificador CVE-2021-22725 para esta vulnerabilidad.
- Una restricciĂłn inadecuada de intentos de autenticaciĂłn excesivos podrĂa permitir el acceso no autorizado a la interfaz web de la estaciĂłn de carga realizando ataques de fuerza bruta. Se ha asignado el identificador CVE-2021-22818 para esta vulnerabilidad.
- La caducidad de sesiĂłn podrĂa permitir un acceso no autorizado a travĂ©s de una sesiĂłn secuestrada al servidor web de la estaciĂłn de carga, incluso despuĂ©s de que el titular legĂtimo de la cuenta de usuario haya cambiado su contraseña. Se ha asignado el identificador CVE-2021-22820 para esta vulnerabilidad.
- La neutralizaciĂłn inadecuada de la entrada durante la generaciĂłn de la pĂĄgina web (‘Cross-site Scripting‘) podrĂa hacerse pasar por el usuario que gestiona la estaciĂłn de la estaciĂłn de carga o llevar a cabo acciones en su nombre cuando se envĂan parĂĄmetros maliciosos al servidor web de la estaciĂłn de carga. Se ha asignado el identificador CVE-2021-22822 para esta vulnerabilidad.
Para las vulnerabilidades de severidad media se han asignado los identificadores:Â CVE-2021-22819, CVE-2021-22823, CVE-2021-22824, CVE-2021-22826 y CVE-2021-22827.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Schneider Electric, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.