Inicio / Alerta Temprana / Avisos Sci / [Actualización 19/08/2022] Múltiples vulnerabilidades en productos de Schneider Electric

[Actualización 19/08/2022] Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación: 
09/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • EcoStruxure™ Control Expert, V15.0 SP1 y anteriores,
  • EcoStruxure™ Process Expert, V2021 y anteriores,
  • Smart-UPS Family:
    • SCL Series: ID=1030: UPS 02.5 y anteriores; ID=1036: UPS 02.5 y anteriores,
    • SRT Series: ID=1010/1019/1025: UPS 08.3 y anteriores; ID=1024: UPS 01.0 y anteriores; ID=1020: UPS 10.4 y anteriores; ID=1021: UPS 12.2 y anteriores; ID=1001/1013: UPS 05.1 y anteriores; ID=1002/1014: UPSa05.2 y anteriores,
  • SmartConnect Family:
    • SMT Series: ID=1015: UPS 04.5 y anteriores,
    • SMC Series: ID=1018: UPS 04.2 y anteriores,
    • SMTL Series: ID=1026: UPS 02.9 y anteriores,
    • SCL Series: ID=1029: UPS 02.5 y anteriores; ID=1030: UPS 02.5 y anteriores; ID=1036: UPS 02.5 y anteriores; ID=1037: UPS 03.1 y anteriores,
    • SMX Series: ID=1031: UPS 03.1 y anteriores,
  • Ritto Wiser™ Door, todas las versiones.
Descripción: 

Schneider Electric ha publicado 6 vulnerabilidades, siendo 2 de severidad crítica, 2 altas y 2 medias, afectando a diferentes productos.

Solución: 

Actualizar los productos afectados a las versiones correctoras listadas en la sección Remediation de cada aviso del fabricante. En caso de no existir solución de software, aplicar las medidas descritas en la sección Mitigation.

Detalle: 

Las vulnerabilidades críticas se describen a continuación:

  • existe una vulnerabilidad que podría causar la ejecución remota de código en los dispositivos SmartConnect Family cuando un paquete TLS es manejado inadecuadamente durante el reensamblado, provocando un desbordamiento de búfer. Se ha asignado el identificador CVE-2022-22805 para esta vulnerabilidad.
  • existe una vulnerabilidad de elusión de autenticación por captura-repetición que podría causar una conexión no autenticada a los dispositivos SAI SmartConnect Family cuando se envía una conexión malformada. Se ha asignado el identificador CVE-2022-22806 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-24322, CVE-2022-24323, CVE-2022-0715 y CVE-2021-22783.

Encuesta valoración