Sintesi

Sanate nuove vulnerabilità presenti in alcuni prodotti di Schneider Electric, di cui una con gravità “alta” relativa ai prodotti EcoStruxure PME e Vijeo Designer.

Tipologia

• Security Feature Bypass
• Privilege Escalation

Prodotti e/o versioni affette

• EcoStruxure, versioni PME 2022 e superiori
• Vijeo Designer, versioni 6.3 SP1 e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2023-28003

CVE-2024-6918

Riferimenti

https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-01.pdf

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-254-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-254-01.pdf

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.