Múltiples vulnerabilidades en productos Schneider Electric
Fecha de publicación 21/04/2025
Identificador
INCIBE-2025-0193
Importancia
4 - Alta
Recursos Afectados
- Sage 1410, versiones C3414-500-S02K5_P8 y anteriores;
- Sage 1430, versiones C3414-500-S02K5_P8 y anteriores;
- Sage 1450, versiones C3414-500-S02K5_P8 y anteriores;
- Sage 2400, versiones C3414-500-S02K5_P8 y anteriores;
- Sage 4400, versiones C3414-500-S02K5_P8 y anteriores;
- Sage 3030 Magnum, versiones C3414-500-S02K5_P8 y anteriores.
Descripción
Marlon Schumacher y Alex Armstrong de LLNL, y Vishal Madipadga de SNL, han reportado 5 vulnerabilidades: 2 de severidad alta y 3 de severidad media, cuya explotación podría permitir a un atacante comprometer el dispositivo impactado, provocando la pérdida de datos, pérdida de operación, o el detrimento en el rendimiento del dispositivo.
Solución
Schneider Electric ha lanzado la versión de firmware C3414-500-S02K5_P9 para los productos afectados.
Detalle
Las vulnerabilidades de severidad alta son:
- Vulnerabilidad de limitación incorrecta de un nombre de ruta a un directorio restringido (Path Traversal), cuya explotación podría permitir a un usuario autenticado con acceso a la interfaz web del dispositivo corromper archivos y afectar a la funcionalidad del dispositivo al enviar una solicitud HTTP manipulada. Se ha asignado el identificador CVE-2024-37037 para esta vulnerabilidad.
- Vulnerabilidad de permisos predeterminados incorrectos que podría permitir a un usuario autenticado con acceso a la interfaz web del dispositivo realizar cargas no autorizadas de archivos y firmware al elaborar solicitudes web personalizadas. Se ha asignado el identificador CVE-2024-37038 para esta vulnerabilidad.
Se han asignado los identificadores CVE-2024-37039, CVE-2024-37040 y CVE-2024-5560 para las vulnerabilidades de severidad media.
Listado de referencias
Etiquetas
