Inicio / Alerta Temprana / Avisos Sci / Gestión incorrecta de contraseñas en productos Schneider Electric

Gestión incorrecta de contraseñas en productos Schneider Electric

Fecha de publicación: 
31/07/2015
Importancia: 
4 - Alta
Recursos afectados: 

Los productos afectados son:

  • InduSoft Web Studio, Versión 7.1.3.4 y todas las versiones anteriores.
  • InTouch Machine Edition 2014, Versión 7.1 Service Pack 3 Patch 4 y todas las versiones anteriores.
Descripción: 

Se ha identificado una vulnerabilidad en los productos InduSoft Web Studio y InTouch Machine Edition 2014 de Schneider Electric provocada por la gestión incorrecta de información sensible, la cual se almacena en texto plano.

Solución: 

Schneider Electric ha publicado una actualización de seguridad que corrige el problema para el producto InduSoft Web Studio.

Para InTouch Machine Edition 2014, se ha publicado un documento que recoge los detalles de la vulnerabilidad y las acciones requeridas para su mitigación.

Detalle: 

Las contraseñas utilizadas en la ventana del proyecto se almacenan en un fichero de configuración en texto plano, lo que podría permitir a un atacante local la ejecución de código arbitrario.

Se ha reservado el identificador CVE-2015-1009.