Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos de Schneider Electric

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación: 
13/03/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • VideoXpert OpsCenter, versiones anteriores a la 3.1
  • U.motion Builder, versión 1.3.4
Descripción: 

Los investigadores Julien Ahrens de RCE Security y Osama Radwan han identificado varias vulnerabilidades de tipo elemento de ruta de búsqueda no controlado e inyección SQL que afectan a varios productos de Schneider Electric. Un potencial atacante remoto podría llegar a invocar librerías DLL incorrectas o ejecutar código arbitrario.

Solución: 
  • Los usuarios de U.motion Builder deben eliminar inmediatamente el producto, ya que se encuentra retirado y no recibirá más soporte.
  • Los usuarios de VideoXpert OpsCenter deben actualizar a la versión 3.1.
Detalle: 
  • Un potencial atacante local podría hacer que el sistema invoque librerías DLL incorrectas. Se ha reservado el identificador CVE-2018-7840 para esta vulnerabilidad.
  • Un potencial atacante remoto, mediante una inyección SQL, podría ejecutar código no deseado haciendo uso de caracteres no adecuados en las entradas. Se ha reservado el identificador CVE-2018-7841 para esta vulnerabilidad.

Encuesta valoración