Impatto Sistemico

Alto (72.82)

Sintesi

Sanate nuove vulnerabilità presenti in alcuni prodotti di Schneider Electric, di cui una con gravità “critica” e quattro con gravità “alta”, relative ai prodotti EcoStruxure PME, Zelio Soft, System Monitor, Easergy Studio e Data Center Expert.

Note : la CVE-2024-9005 risulta essere sfruttata attivamente in rete.

Tipologia

• Arbitrary Code Execution
• Denial of Service
• Information Disclosure
• Data Manipulation
• Privilege Escalation

Prodotti e/o versioni affette

• EcoStruxure Power Monitoring Expert (PME), versione 2022 e precedenti
• Zelio Soft 2, versioni precedenti alla 5.4.2.2
• System Monitor application in Harmony Industrial PC, tutte le versioni
• System Monitor application in Pro-face Industrial PC PS5000, tutte le versioni
• Data Center Expert, versione 8.1.1.3 e precedenti
• Easergy Studio, versione 9.3.1 e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti. Per le versioni dei prodotti per cui il vendor non ha ancora rilasciato aggiornamenti, si consiglia di seguire le mitigazioni riportate nella sezione “Remediation” dei bollettini di sicurezza e di monitorare il rilascio di ulteriori aggiornamenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”: