Múltiples vulnerabilidades en productos de Schneider Electric
Fecha de publicación 16/02/2023
Importancia
4 - Alta
Recursos Afectados
- StruxureWare Data Center Expert, versiones 7.9.2 y anteriores;
- Merten, distintas versiones y modelos listados en SEVD-2023-045-03.
Descripción
Se han identificado 10 vulnerabilidades en productos de Schneider Electric, 7 de severidad alta y 3 de severidad media, cuya explotación podría permitir a un atacante realizar un acceso remoto, una escalada de privilegios local o vulnerar la autenticación de la clave BCU.
Solución
- Actualizar StruxureWare Data Center Expert a la versión 7.9.3;
- para los productos Merten, los clientes deben solicitar a su integrador de sistemas que aumente su clave BCU a 8 dígitos.
Detalle
La explotación de las vulnerabilidades de severidad alta podrían permitir las siguientes acciones:
- ejecución remota de código (CVE-2023-25547, CVE-2023-25549 y CVE-2023-25550);
- acceso a credenciales del dispositivo (CVE-2023-25548);
- visualización de contenidos no autorizados, modificación o supresión de contenidos, o realización de funciones no autorizadas (CVE-2023-25552);
- escalada de privilegios local (CVE-2023-25554);
- compromiso del dispositivo (CVE-2023-25556).
Los identificadores de las vulnerabilidades de severidad media son: CVE-2023-25551, CVE-2023-25553 y CVE-2023-25555.
Etiquetas
