Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos Schneider Electric

Múltiples vulnerabilidades en productos Schneider Electric

Fecha de publicación: 
09/12/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • EcoStruxure™ Control Expert, todas las versiones;
  • Unity Pro (antigua denominación de EcoStruxure™ Control Expert), todas las versiones;
  • EcoStruxure Geo SCADA Expert:
    • 2019: versión original y actualizaciones mensuales hasta septiembre de 2020, desde 81.7268.1 hasta 81.7578.1;
    • 2020: versión original y actualizaciones mensuales hasta septiembre de 2020, desde 83.7551.1 hasta 83.7578.1.
  • Modicon, distintos productos y versiones, disponibles en cada sección Affected Products and Versions de los enlaces incluidos en las Referencias.
Descripción: 

Schneider Electric ha publicado múltiples vulnerabilidades, 8 con severidad alta y 4 medias.

Solución: 

Seguir las instrucciones de actualización y configuración descritas en la sección Remediation de cada aviso del fabricante. Puede localizarlos en la sección Referencias.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • cualquier condición en la que el atacante tenga la capacidad de escribir un valor arbitrario en una ubicación arbitraria (write-what-where condition),
  • protección de credenciales insuficientes,
  • la aplicación web no hace cumplir la autorización apropiada en todos las URL, scripts o archivos restringidos (forced browsing),
  • comprobación incorrecta de condiciones inusuales o excepcionales,
  • falta de autenticación para función crítica,
  • limitación inadecuada de una ruta a un directorio restringido (path traversal),
  • restricción inadecuada de las operaciones dentro de los límites de un búfer de memoria.

Para este conjunto de vulnerabilidades se han asignado los siguientes identificadores: CVE-2020-7560, CVE-2020-28219, CVE-2020-7539, CVE-2020-7541, CVE-2020-7540, CVE-2020-7535, CVE-2020-7549, CVE-2020-7536, CVE-2020-7537, CVE-2020-7542, CVE-2020-7543 y CVE-2020-28220.

Encuesta valoración