Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Escalada de privilegios en Easergy Studio de Schneider Electric

Fecha de publicación 09/01/2024
Identificador
INCIBE-2024-0005
Importancia
4 - Alta
Recursos Afectados
  • Easergy Studio, versiones anteriores a v9.3.5 (incluída).
Descripción

Sina Kheirkhah (@SinSinology), de Summoning Team, en colaboración con Trend Micro Zero Day Initiative, ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante obtener control total de la estación de trabajo objetivo a través de una escalada de privilegios.

Solución

La versión 9.3.6 de Easergy Studio incluye una corrección para esta vulnerabilidad y está disponible a través de SESU (Schneider Electric Software Update).

Detalle

Existe una vulnerabilidad de deserialización de datos no fiables que podría permitir, a un atacante logueado con una cuenta de nivel de usuario, obtener privilegios superiores, proporcionando un objeto serializado dañino.

Se ha asignado el identificador CVE-2023-7032 para esta vulnerabilidad.

Listado de referencias
Schneider Electric Security Notification: Easergy Studio
ICSA-24-011-05 Schneider Electric Easergy Studio
Etiquetas