MĂșltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicaciĂłn: 14/12/2021

Importancia:
CrĂ­tica

Recursos afectados:

  • IGSS Data Colleca (dc.exe), V15.0.0.21320 y anterior;
  • EVlink City EVC1S22P4 / EVC1S7P4, versiones anteriores a R8 V3.4.0.2;
  • EVlink Parking EVW2 / EVF2 / EVP2PE, versiones anteriores a R8 V3.4.0.2;
  • EVlink Smart Wallbox EVB1A, versiones anteriores a R8 V3.4.0.2;
  • EcoStruxureℱ Power Moniaing Expert 9.0 y anteriores;
  • AP7xxxx y AP8xxx con NMC2, V6.9.6 o anteriores;
  • AP7xxx y AP8xxx con NMC3, V1.1.0.3 o anteriores;
  • APDU9xxx con NMC3, V1.0.0.28 o anteriores.

DescripciĂłn:

Schneider Electric ha reportado 11 vulnerabilidades, 1 crĂ­tica, 5 altas y 5 de severidad media, por las que un atacante podrĂ­a realizar una denegaciĂłn de servicio, el acceso no autorizado al servidor web de la estaciĂłn de carga, ejecuciĂłn de cĂłdigo arbitrario, ejecuciĂłn de cĂłdigo web malicioso o provocar el funcionamiento involuntario del dispositivo.

SoluciĂłn:

  • IGSS Data Collector: versiĂłn 15.0.0.21321 del mĂłdulo IGSS DC. Disponible para su descarga a travĂ©s de IGSS Master > Update IGSS Software o descargando el ZIP de actualizacion;
  • EVlink City EVC1S22P4 / EVC1S7P4: actualizar el firmware;
  • EVlink Parking EVW2 / EVF2 / EVP2PE: actualizar el firmware;
  • EVlink Smart Wallbox EVB1A: actualizar el firmware;
  • EcoStruxureℱ Power Monitoring actualzar a Expert 2020 o superior a travĂ©s de su ISO;
  • AP7xxxx y AP8xxx con NMC2 actualizar a V7.0.6.;
  • AP7xxx y AP8xxx con NMC3 actualizar a V1.2.0.2;
  • APDU9xxx con NMC3 actualizar a V1.2.0.2.

Detalle:

  • Una vulnerabilidad de falsificaciĂłn de solicitudes del lado del servidor (SSRF) que podrĂ­a hacer que el servidor web de la estaciĂłn de carga reenvĂ­e solicitudes a objetivos de red no deseados cuando se envĂ­an parĂĄmetros maliciosos elaborados al servidor web de la estaciĂłn de carga Se ha asignado el identificador CVE-2021-22821 para esta vulnerabilidad de severidad crĂ­tica.
  • Una vulnerabilidad de falsificaciĂłn de solicitud de sitio cruzado (CSRF) que podrĂ­a permitir a un atacante hacerse pasar por el usuario o realizar acciones en su nombre cuando se envĂ­an parĂĄmetros maliciosos en las solicitudes POST enviadas al servidor web de la estaciĂłn de carga. Se ha asignado el identificador CVE-2021-22724 para esta vulnerabilidad.
  • Realizar acciones no deseadas cuando se envĂ­an parĂĄmetros maliciosos en solicitudes GET enviadas al servidor web de la estaciĂłn de carga. Se ha asignado el identificador CVE-2021-22725 para esta vulnerabilidad.
  • Una restricciĂłn inadecuada de intentos de autenticaciĂłn excesivos podrĂ­a permitir el acceso no autorizado a la interfaz web de la estaciĂłn de carga realizando ataques de fuerza bruta. Se ha asignado el identificador CVE-2021-22818 para esta vulnerabilidad.
  • La caducidad de sesiĂłn podrĂ­a permitir un acceso no autorizado a travĂ©s de una sesiĂłn secuestrada al servidor web de la estaciĂłn de carga, incluso despuĂ©s de que el titular legĂ­timo de la cuenta de usuario haya cambiado su contraseña. Se ha asignado el identificador CVE-2021-22820 para esta vulnerabilidad.
  • La neutralizaciĂłn inadecuada de la entrada durante la generaciĂłn de la pĂĄgina web (‘Cross-site Scripting‘) podrĂ­a hacerse pasar por el usuario que gestiona la estaciĂłn de la estaciĂłn de carga o llevar a cabo acciones en su nombre cuando se envĂ­an parĂĄmetros maliciosos al servidor web de la estaciĂłn de carga. Se ha asignado el identificador CVE-2021-22822 para esta vulnerabilidad.

Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2021-22819, CVE-2021-22823, CVE-2021-22824, CVE-2021-22826 y CVE-2021-22827.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Infraestructuras crĂ­ticas, Schneider Electric, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.