Fecha de publicación: 13/12/2022
Importancia:
Crítica
Recursos afectados:
- APC Easy UPS Online Monitoring Software:
- V2.5-GA y posteriores (Windows 7, 10, 11 Windows Server 2016, 2019, 2022),
- V2.5-GA-01-22261 y posteriores (Windows 11, Windows Server 2019, 2022).
- EcoStruxure Power Commission: V2.25 y posteriores.
- SAITEL DR RTU: firmware desde Baseline_11.06.01 hasta Baseline_11.06.14
Descripción:
Schneider Electric ha detectado 6 vulnerabilidades: 2 de severidad crítica, 3 de severidad alta y 1 de severidad media. Estas vulnerabilidades podrían permitir a un atacante ejecutar código de forma remota, realizar una escalada de privilegios, evitar una autenticación para acceder a la aplicación o provocar una denegación de servicio.
Solución:
Se recomienda actualizar el software:
- Versión 2.5-GA-01-22320 de APC Easy UPS Online Monitoring para las vulnerabilidades que afectan a Windows 7, 10, 11, y Windows Server 2016, 2019, y 2022.
- Versión 2.26 de EcoStruxure Power Commission para la vulnerabilidad que afecta V2.25 y versiones anteriores .
- Versión BaseLine_11.06.15 de Saitel DR RTU para la vulnerabilidad que afecta a Baseline_11.06.01 hasta Baseline_11.06.14. (Disponible a través de su contacto de ventas de Schneider Electric Saitel).
Detalle:
Las vulnerabilidades de severidad crítica podrían permitir a un atacante acceso, sin necesidad de autenticación, interactuar con una funcionalidad que requiere una identidad de usuario demostrable, lo que provocaría un gran consumo de recursos o cargar un archivo JSP malicioso produciendo una ejecución remota de código. Se han asignado los identificadores CVE-2022-42970 y CVE-2022-42971 para estas vulnerabilidades.
Las vulnerabilidades de severidad alta permiten al atacante una asignación de permisos que podría provocar una escalada de privilegios, el uso de credenciales codificadas que podría otorgar una escalada de privilegios locales cuando el atacante se conecta a la base de datos, o una autorización incorrecta que daría acceso no autorizado a ciertas funciones del software. Se han asignado los identificadores CVE-2022-42972, CVE-2022-42973, CVE-2022-4062 para estas vulnerabilidades.
Se ha asignado el identificador CVE-2020-6996 para la vulnerabilidad de severidad media.
Etiquetas:
Actualización, Infraestructuras críticas, Schneider Electric, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.