Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en productos de Schneider Electric

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 12/07/2022

Importancia:
Alta

Recursos afectados:

  • OPC UA Modicon Communication Module (BMENUA0100), versiones 1.10 y anteriores;
  • X80 advanced RTU Communication Module (BMENOR2200H), versiĂłn 1.0;
  • X80 advanced RTU Communication Module (BMENOR2200H), versiones 2.01 y posteriores;
  • SpaceLogic C-Bus Home Controller (5200WHC2), versiones 1.31.460 y anteriores;
  • Acti9 PowerTag Link C:
    • A9XELC10-A, versiones 1.7.5 y anteriores;
    • A9XELC10-B, versiones 2.12.0 y anteriores.
  • Easergy P5, versiones de firmware 01.401.102 y anteriores.

DescripciĂłn:

Schneider Electric ha publicado 12 vulnerabilidades, siendo 5 de severidad alta y 7 medias.

SoluciĂłn:

Aplicar las actualizaciones y las medidas de mitigaciĂłn descritas en los apartados Remediations y Mitigations/Remediation en la secciĂłn de “Referencias” de cada uno de los productos.

Detalle:

Las vulnerabilidades de severidad alta son:

  • Una vulnerabilidad de escritura fuera de lĂ­mites podrĂ­a causar una condiciĂłn de denegaciĂłn de servicio (DoS) del servidor web debido al anĂĄlisis incorrecto de las cabeceras HTTP. Se ha asignado el identificador CVE-2022-34759 para esta vulnerabilidad.
  • Una vulnerabilidad de bucle infinito podrĂ­a causar una DoS del servidor web debido a la gestiĂłn inadecuada de las cookies. Se ha asignado el identificador CVE-2022-34760 para esta vulnerabilidad.
  • Una vulnerabilidad de desviaciĂłn de puntero nulo podrĂ­a causar una DoS del servidor web al analizar el tipo de contenido JSON. Se ha asignado el identificador CVE-2022-34761 para esta vulnerabilidad.
  • Una vulnerabilidad de inyecciĂłn de comandos del SO podrĂ­a causar una explotaciĂłn remota con privilegios de root cuando el comando estĂĄ comprometido. Se ha asignado el identificador CVE-2022-34753 para esta vulnerabilidad.
  • Una vulnerabilidad de copia de bĂșfer sin comprobaciĂłn del tamaño de la entrada podrĂ­a dar lugar a la ejecuciĂłn remota de cĂłdigo o a la caĂ­da de la pila HTTPS que se utiliza para la web HMI del dispositivo. Se ha asignado el identificador CVE-2022-34756 para esta vulnerabilidad.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores CVE-2022-34762, CVE-2022-34763, CVE-2022-34764, CVE-2022-34765, CVE-2022-34754, CVE-2022-34757 y CVE-2022-34758.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Comunicaciones, Infraestructuras crĂ­ticas, SCADA, Schneider Electric, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.