Múltiples vulnerabilidades en productos Schneider Electric
Fecha de publicación 09/12/2020
Importancia
4 - Alta
Recursos Afectados
- EcoStruxure™ Control Expert, todas las versiones;
- Unity Pro (antigua denominación de EcoStruxure™ Control Expert), todas las versiones;
- EcoStruxure Geo SCADA Expert:
- 2019: versión original y actualizaciones mensuales hasta septiembre de 2020, desde 81.7268.1 hasta 81.7578.1;
- 2020: versión original y actualizaciones mensuales hasta septiembre de 2020, desde 83.7551.1 hasta 83.7578.1.
- Modicon, distintos productos y versiones, disponibles en cada sección Affected Products and Versions de los enlaces incluidos en las Referencias.
Descripción
Schneider Electric ha publicado múltiples vulnerabilidades, 8 con severidad alta y 4 medias.
Solución
Seguir las instrucciones de actualización y configuración descritas en la sección Remediation de cada aviso del fabricante. Puede localizarlos en la sección Referencias.
Detalle
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
- cualquier condición en la que el atacante tenga la capacidad de escribir un valor arbitrario en una ubicación arbitraria (write-what-where condition),
- protección de credenciales insuficientes,
- la aplicación web no hace cumplir la autorización apropiada en todos las URL, scripts o archivos restringidos (forced browsing),
- comprobación incorrecta de condiciones inusuales o excepcionales,
- falta de autenticación para función crítica,
- limitación inadecuada de una ruta a un directorio restringido (path traversal),
- restricción inadecuada de las operaciones dentro de los límites de un búfer de memoria.
Para este conjunto de vulnerabilidades se han asignado los siguientes identificadores: CVE-2020-7560, CVE-2020-28219, CVE-2020-7539, CVE-2020-7541, CVE-2020-7540, CVE-2020-7535, CVE-2020-7549, CVE-2020-7536, CVE-2020-7537, CVE-2020-7542, CVE-2020-7543 y CVE-2020-28220.
Listado de referencias