Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación: 14/03/2023

Importancia:
Crítica

Recursos afectados:

  • PowerLogic™ HDPM6000, versiones 0.58.6 y anteriores.
  • Versiones 16.0.0.23040 y anteriores de los productos:
    • IGSS Data Server (IGSSdataServer.exe);
    • IGSS Dashboard (DashBoard.exe);
    • Custom Reports (RMS16.dll).

Descripción:

Schneider Electric ha publicado avisos que recogen información sobre 9 vulnerabilidades: 1 de severidad crítica, 5 altas y 3 medias. La explotación de estas vulnerabilidades podría provocar un desbordamiento de búfer, una condición de denegación de servicio (DoS) o una ejecución remota de código.

Solución:

Actualizar los productos afectados a las siguientes versiones correctoras:

Detalle:

La vulnerabilidad crítica se basa en la validación incorrecta del índice de un array, lo que podría provocar una denegación de servicio o la ejecución remota de código mediante el envío de una solicitud Ethernet especialmente diseñada. Se ha asignado el identificador CVE-2023-28004 para esta vulnerabilidad.

Para el resto de vulnerabilidades no críticas se han asignado los identificadores: CVE-2023-27977, CVE-2023-27978, CVE-2023-27979, CVE-2023-27980, CVE-2023-27981, CVE-2023-27982, CVE-2023-27983 y CVE-2023-27984.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, SCADA, Schneider Electric, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.