Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación 13/03/2019
Importancia
4 - Alta
Recursos Afectados
  • VideoXpert OpsCenter, versiones anteriores a la 3.1
  • U.motion Builder, versión 1.3.4
Descripción

Los investigadores Julien Ahrens de RCE Security y Osama Radwan han identificado varias vulnerabilidades de tipo elemento de ruta de búsqueda no controlado e inyección SQL que afectan a varios productos de Schneider Electric. Un potencial atacante remoto podría llegar a invocar librerías DLL incorrectas o ejecutar código arbitrario.

Solución
  • Los usuarios de U.motion Builder deben eliminar inmediatamente el producto, ya que se encuentra retirado y no recibirá más soporte.
  • Los usuarios de VideoXpert OpsCenter deben actualizar a la versión 3.1.
Detalle
  • Un potencial atacante local podría hacer que el sistema invoque librerías DLL incorrectas. Se ha reservado el identificador CVE-2018-7840 para esta vulnerabilidad.
  • Un potencial atacante remoto, mediante una inyección SQL, podría ejecutar código no deseado haciendo uso de caracteres no adecuados en las entradas. Se ha reservado el identificador CVE-2018-7841 para esta vulnerabilidad.

Encuesta valoración