Múltiples vulnerabilidades en productos de Schneider Electric
Fecha de publicación:
12/06/2019
Importancia:
4 -
Alta
Recursos afectados:
- PowerSCADA Expert 7.30
- PowerSCADA Expert 7.40
- PowerSCADA Expert 8.0, sin el Service Release 1
- ProClima, todas las versiones anteriores a la 8.0.0
Descripción:
Investigadores del equipo de seguridad de NSFOCUS han detectado estas vulnerabilidades de tipo inyección de código, errores de búfer, ruta de búsqueda no controlada y exposición de información sensible que podrían provocar la obtención de información sensible y la ejecución de código remoto.
Solución:
Actualizar el firmware:
- ProClima a la versión 8.0.0 o posterior.
- PowerSCADA a la versión 9.0 o posterior.
Detalle:
- Mediante inyección de código, un atacante remoto no autenticado podría ejecutar código arbitrario en el sistema objetivo. Se ha reservado el identificador CVE-2019-6823 para esta vulnerabilidad.
- Un atacante remoto no autenticado podría ejecutar código arbitrario en el sistema objetivo gracias a un error de búfer. Se ha reservado el identificador CVE-2019-6824 para esta vulnerabilidad.
- La vulnerabilidad del elemento path de búsqueda no controlada podría permitir la ejecución de código arbitrario a un archivo DLL malicioso con el mismo nombre que cualquier DLL dentro del software de instalación. Se ha reservado el identificador CVE-2019-6825 para esta vulnerabilidad.
- Una vulnerabilidad podría permitir a un usuario local autenticado acceder a las credenciales de usuario de Citect. Se ha asignado el identificador CVE-2019-10981 para esta vulnerabilidad.
Referencias: