Fecha de publicaciĂłn: 13/12/2022
Importancia:
CrĂtica
Recursos afectados:
- APC Easy UPS Online Monitoring Software:
- V2.5-GA y posteriores (Windows 7, 10, 11Â Windows Server 2016, 2019, 2022),
- V2.5-GA-01-22261 y posteriores (Windows 11, Windows Server 2019, 2022).
- EcoStruxure Power Commission:Â V2.25 y posteriores.
- SAITEL DR RTU: firmware desde Baseline_11.06.01 hasta Baseline_11.06.14
DescripciĂłn:
Schneider Electric ha detectado 6 vulnerabilidades: 2 de severidad crĂtica, 3 de severidad alta y 1 de severidad media. Estas vulnerabilidades podrĂan permitir a un atacante ejecutar cĂłdigo de forma remota, realizar una escalada de privilegios, evitar una autenticaciĂłn para acceder a la aplicaciĂłn o provocar una denegaciĂłn de servicio.
SoluciĂłn:
Se recomienda actualizar el software:
- Versión 2.5-GA-01-22320 de APC Easy UPS Online Monitoring para las vulnerabilidades que afectan a Windows 7, 10, 11, y Windows Server 2016, 2019, y 2022.
- Versión 2.26 de EcoStruxure Power Commission para la vulnerabilidad que afecta V2.25 y versiones anteriores .
- Versión BaseLine_11.06.15 de Saitel DR RTU para la vulnerabilidad que afecta a Baseline_11.06.01 hasta Baseline_11.06.14. (Disponible a través de su contacto de ventas de Schneider Electric Saitel).
Detalle:
Las vulnerabilidades de severidad crĂtica podrĂan permitir a un atacante acceso, sin necesidad de autenticaciĂłn, interactuar con una funcionalidad que requiere una identidad de usuario demostrable, lo que provocarĂa un gran consumo de recursos o cargar un archivo JSP malicioso produciendo una ejecuciĂłn remota de cĂłdigo. Se han asignado los identificadores CVE-2022-42970 y CVE-2022-42971 para estas vulnerabilidades.
Las vulnerabilidades de severidad alta permiten al atacante una asignaciĂłn de permisos que podrĂa provocar una escalada de privilegios, el uso de credenciales codificadas que podrĂa otorgar una escalada de privilegios locales cuando el atacante se conecta a la base de datos, o una autorizaciĂłn incorrecta que darĂa acceso no autorizado a ciertas funciones del software. Se han asignado los identificadores CVE-2022-42972, CVE-2022-42973, CVE-2022-4062 para estas vulnerabilidades.
Se ha asignado el identificador CVE-2020-6996 para la vulnerabilidad de severidad media.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Schneider Electric, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.