Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en PowerLogic Power Metering de Schneider Electric

Múltiples vulnerabilidades en PowerLogic Power Metering de Schneider Electric

Fecha de publicación: 
10/02/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • ION7400, todas las versiones anteriores a V3.0.0;
  • ION7650, todas las versiones;
  • ION7700/73xx, todas las versiones (solo afectado por CVE-2021-22702);
  • ION83xx/84xx/85xx/8600, todas las versiones;
  • ION8650, todas las versiones anteriores a V 4.31.2;
  • ION8800, todas las versiones;
  • ION9000, todas las versiones anteriores a V3.0.0;
  • PM8000, todas las versiones anteriores a V3.0.0.
Descripción: 

Schneider Electric ha informado de tres vulnerabilidades en sus productos de medición eléctrica PowerLogic que podrían permitir la revelación de credenciales de usuario al trasmitirse en claro, o acciones no deseadas en un dispositivo cuando se utiliza HTTP, lo que podría provocar un comportamiento no deseado del dispositivo.

Solución: 
  • ION7400, actualizar a la versión V3.0.0;
  • ION8650, actualizar a la versión V 4.31.2;
  • ION9000, actualizar a la versión V3.0.0;
  • PM8000, actualizar a la versión V3.0.0;

Para los siguientes productos no existe un parche que solucione estas vulnerabilidades. Schneider Electric recomienda deshabilitar los servicios de Telnet y de HTTP.

  • ION7650,
  • ION8800.

En el caso de los siguientes productos, para los que tampoco existe parche, Schneider Electric recomienda además de deshabilitar los servicios Telnet y HTTP, su actualización a productos más modernos al carecer de soporte.

  • ION7700/73xx,
  • ION83xx/84xx/85xx/8600.
Detalle: 

Las vulnerabilidades descubiertas en productos PowerLogic se refieren a una vulnerabilidad de tipo Cross-Site Request Forgery que permite que un usuario realice una acción no deseada en el dispositivo a través de HTTP y dos vulnerabilidades de transmisión de información sensible en texto claro, que podrían causar la divulgación de credenciales de usuario a través de Telnet o a través de HTTP.

Se han asignado los identificadores CVE-2021-22701, CVE-2021-22702 y CVE-2021-22703 a estas vulnerabilidades.

Encuesta valoración