Múltiples vulnerabilidades en productos Schneider Electric
Fecha de publicación 13/08/2024
Identificador
INCIBE-2024-0396
Importancia
4 - Alta
Recursos Afectados
- Accutech Manager, versiones 2.8.0.0 y anteriores.
- EcoStruxure Machine SCADA Expert y Pro-face BLUE Open Studio, versiones anteriores a 2020 SP3 HF1.
Descripción
Tenable Research y Aveva han notificado, respectivamente, 2 vulnerabilidades de severidad alta que afectan a productos de Schneider Electric. La explotación de estas vulnerabilidades podría permitir a un atacante realizar distintas acciones como: agotamiento de recursos, pérdida de disponibilidad del software, escalada de privilegios, ejecución arbitraria de código, divulgación de información o denegación de servicio.
Solución
Actualizar los productos afectados a las siguientes versiones:
- Accutech Manager, versión 2.10.0.
- EcoStruxure Machine SCADA Expert, versiones 2023 o 2020 SP3 HF1.
- Pro-face BLUE Open Studio, versiones 2023 o 2020 SP3 HF1.
Detalle
- Una vulnerabilidad de desbordamiento de búfer podría causar el fallo de Accutech Manager al recibir una petición especialmente diseñada a través del puerto 2536/TCP. Se ha asignado el identificador CVE-2024-6918 para esta vulnerabilidad.
- Vulnerabilidad publicada por Aveva que afecta a varios componentes empleados por productos de Schneider Electric, más detalles en las referencias. Se ha asignado el identificador CVE-2023-6132 para esta vulnerabilidad.
Listado de referencias