Múltiples vulnerabilidades en productos de Schneider Electric
INCIBE-2023-0091
- PowerLogic™ HDPM6000, versiones 0.58.6 y anteriores.
- Versiones 16.0.0.23040 y anteriores de los productos:
- IGSS Data Server (IGSSdataServer.exe);
- IGSS Dashboard (DashBoard.exe);
- Custom Reports (RMS16.dll).
Schneider Electric ha publicado avisos que recogen información sobre 9 vulnerabilidades: 1 de severidad crítica, 5 altas y 3 medias. La explotación de estas vulnerabilidades podría provocar un desbordamiento de búfer, una condición de denegación de servicio (DoS) o una ejecución remota de código.
Actualizar los productos afectados a las siguientes versiones correctoras:
- PowerLogic™ HDPM6000, versiones 0.58.7 o posteriores.
- IGSS Data Server, Dashboard y Custom Reports, versión 16.0.0.23041.
La vulnerabilidad crítica se basa en la validación incorrecta del índice de un array, lo que podría provocar una denegación de servicio o la ejecución remota de código mediante el envío de una solicitud Ethernet especialmente diseñada. Se ha asignado el identificador CVE-2023-28004 para esta vulnerabilidad.
Para el resto de vulnerabilidades no críticas se han asignado los identificadores: CVE-2023-27977, CVE-2023-27978, CVE-2023-27979, CVE-2023-27980, CVE-2023-27981, CVE-2023-27982, CVE-2023-27983 y CVE-2023-27984.
