CSIRT Toscana Sanate vulnerabilità in prodotti Schneider Electric (AL03/241008/CSIRT-ITA)
Data:
8 Ottobre 2024 11:57
Sintesi
Sanate nuove vulnerabilità presenti in alcuni prodotti di Schneider Electric, di cui una con gravità “critica” e quattro con gravità “alta”, relative ai prodotti EcoStruxure PME, Zelio Soft, System Monitor, Easergy Studio e Data Center Expert.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (72,82/100)1.
Tipologia
- Arbitrary Code Execution
- Denial of Service
- Information Disclosure
- Data Manipulation
- Privilege Escalation
Prodotti e/o versioni affette
- EcoStruxure Power Monitoring Expert (PME), versione 2022 e precedenti
- Zelio Soft 2, versioni precedenti alla 5.4.2.2
- System Monitor application in Harmony Industrial PC, tutte le versioni
- System Monitor application in Pro-face Industrial PC PS5000, tutte le versioni
- Data Center Expert, versione 8.1.1.3 e precedenti
- Easergy Studio, versione 9.3.1 e precedenti
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti. Per le versioni dei prodotti per cui il vendor non ha ancora rilasciato aggiornamenti, si consiglia di seguire le mitigazioni riportate nella sezione “Remediation” dei bollettini di sicurezza e di monitorare il rilascio di ulteriori aggiornamenti.
Identificatori univoci vulnerabilità
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:
Riferimenti
https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.