Impatto Sistemico

Alto (66.41)

Sintesi

Rilevate tre nuove vulnerabilità, di cui una con gravità “critica” e due con gravità “alta”, in alcuni prodotti Schneider Electric. Tali vulnerabilità, qualora sfruttate, potrebbero consentire ad un utente malintenzionato di accedere ad informazioni sensibili, compromettere la disponibilità del servizio ed eseguire codice arbitrario sui sistemi target.

Tipologia

• Arbitrary Code Execution
• Information Disclosure
• Denial of Service

Prodotti e/o versioni affette

Schneider Electric

• SCADAPack 47x, versioni precedenti alla R3.4.2 (versioni Firmware precedenti alla 9.12.2)
• SCADAPack 47xi, versioni precedenti alla R3.4.2 (versioni Firmware precedenti alla 9.12.2)
• SCADAPack 57x, tutte le versioni
• RemoteConnect, versioni precedenti alla R3.4.2
• EcoStruxure Building Operation Workstation 6.x, versioni precedenti alla 6.0.4.14001 (CP10)
• EcoStruxure Building Operation Workstation 7.0.x, versioni precedenti alla 7.0.3.2000 (CP1)
• EcoStruxure Building Operation WebStation 6.x, versioni precedenti alla 6.0.4.14001 (CP10)
• EcoStruxure Building Operation WebStation 7.0.x, versioni precedenti alla 7.0.3.2000 (CP1)

Azioni di mitigazione

Si raccomanda di applicare le mitigazioni fornite dal vendor nei relativi bollettini di sicurezza disponibili al link riportato nella sezione Riferimenti.