Gestión incorrecta de privilegios en Vijeo Designer de Schneider Electric
Fecha de publicación 10/09/2024
Identificador
INCIBE-2024-0440
Importancia
4 - Alta
Recursos Afectados
- Vijeo Designer: versiones anteriores a 6.3 SP1.
- Vijeo Designer emembido en EcoStruxure™ Machine Expert: todas las versiones.
Descripción
Charit Misra, de Applied Risk, ha reportado a Schneider Electric una vulnerabilidad de severidad alta en Vijeo Designer, cuya explotación podría permitir a un atacante realizar una escalada de privilegios que resulte en un acceso sin autorización a los recursos de la estación de trabajo.
Solución
- Vijeo Designer: actualizar a la versión 6.3 SP1.
- Vijeo Designer embebido en EcoStruxure™ Machine Expert: no existe corrección en el momento de redacción. Sin embargo Schneider Electric continúa investigando y se espera una actualización.
Detalle
Vulnerabilidad de gestión de privilegios incorrecta, por la cual un atacante no autenticado como administrador podría realizar una escalada de privilegios manipulando los binarios. Esta acción podría causar un acceso no autorizado, pérdida de confidencialidad, integridad y disponibilidad de la estación de trabajo. Se ha asignado el identificado CVE-2024-8306 para esta vulnerabilidad.
Listado de referencias
