Fecha de publicaciĂłn: 12/07/2022
Importancia:
Alta
Recursos afectados:
- OPC UA Modicon Communication Module (BMENUA0100), versiones 1.10 y anteriores;
- X80 advanced RTU Communication Module (BMENOR2200H), versiĂłn 1.0;
- X80 advanced RTU Communication Module (BMENOR2200H), versiones 2.01 y posteriores;
- SpaceLogic C-Bus Home Controller (5200WHC2), versiones 1.31.460 y anteriores;
- Acti9 PowerTag Link C:
- A9XELC10-A, versiones 1.7.5 y anteriores;
- A9XELC10-B, versiones 2.12.0 y anteriores.
- Easergy P5, versiones de firmware 01.401.102 y anteriores.
DescripciĂłn:
Schneider Electric ha publicado 12 vulnerabilidades, siendo 5 de severidad alta y 7 medias.
SoluciĂłn:
Aplicar las actualizaciones y las medidas de mitigaciĂłn descritas en los apartados Remediations y Mitigations/Remediation en la secciĂłn de “Referencias” de cada uno de los productos.
Detalle:
Las vulnerabilidades de severidad alta son:
- Una vulnerabilidad de escritura fuera de lĂmites podrĂa causar una condiciĂłn de denegaciĂłn de servicio (DoS) del servidor web debido al anĂĄlisis incorrecto de las cabeceras HTTP. Se ha asignado el identificador CVE-2022-34759 para esta vulnerabilidad.
- Una vulnerabilidad de bucle infinito podrĂa causar una DoS del servidor web debido a la gestiĂłn inadecuada de las cookies. Se ha asignado el identificador CVE-2022-34760 para esta vulnerabilidad.
- Una vulnerabilidad de desviaciĂłn de puntero nulo podrĂa causar una DoS del servidor web al analizar el tipo de contenido JSON. Se ha asignado el identificador CVE-2022-34761 para esta vulnerabilidad.
- Una vulnerabilidad de inyecciĂłn de comandos del SO podrĂa causar una explotaciĂłn remota con privilegios de root cuando el comando estĂĄ comprometido. Se ha asignado el identificador CVE-2022-34753 para esta vulnerabilidad.
- Una vulnerabilidad de copia de bĂșfer sin comprobaciĂłn del tamaño de la entrada podrĂa dar lugar a la ejecuciĂłn remota de cĂłdigo o a la caĂda de la pila HTTPS que se utiliza para la web HMI del dispositivo. Se ha asignado el identificador CVE-2022-34756 para esta vulnerabilidad.
Para el resto de vulnerabilidades de severidad media se han asignado los identificadores CVE-2022-34762, CVE-2022-34763, CVE-2022-34764, CVE-2022-34765, CVE-2022-34754, CVE-2022-34757 y CVE-2022-34758.
Etiquetas:
ActualizaciĂłn, Comunicaciones, Infraestructuras crĂticas, SCADA, Schneider Electric, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.