Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Schneider Electric

Fecha de publicación 13/08/2024
Identificador
INCIBE-2024-0396
Importancia
4 - Alta
Recursos Afectados
  • Accutech Manager, versiones 2.8.0.0 y anteriores.
  • EcoStruxure Machine SCADA Expert y Pro-face BLUE Open Studio, versiones anteriores a 2020 SP3 HF1.
Descripción

Tenable Research y Aveva han notificado, respectivamente, 2 vulnerabilidades de severidad alta que afectan a productos de Schneider Electric. La explotación de estas vulnerabilidades podría permitir a un atacante realizar distintas acciones como: agotamiento de recursos, pérdida de disponibilidad del software, escalada de privilegios, ejecución arbitraria de código, divulgación de información o denegación de servicio.

Solución

Actualizar los productos afectados a las siguientes versiones:

Detalle
  • Una vulnerabilidad de desbordamiento de búfer podría causar el fallo de Accutech Manager al recibir una petición especialmente diseñada a través del puerto 2536/TCP. Se ha asignado el identificador CVE-2024-6918 para esta vulnerabilidad.
  • Vulnerabilidad publicada por Aveva que afecta a varios componentes empleados por productos de Schneider Electric, más detalles en las referencias. Se ha asignado el identificador CVE-2023-6132 para esta vulnerabilidad.