Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación 16/02/2023
Identificador

INCIBE-2023-0057

Importancia
4 - Alta
Recursos Afectados
  • StruxureWare Data Center Expert, versiones 7.9.2 y anteriores;
  • Merten, distintas versiones y modelos listados en SEVD-2023-045-03.
Descripción

Se han identificado 10 vulnerabilidades en productos de Schneider Electric, 7 de severidad alta y 3 de severidad media, cuya explotación podría permitir a un atacante realizar un acceso remoto, una escalada de privilegios local o vulnerar la autenticación de la clave BCU.

Solución
  • Actualizar StruxureWare Data Center Expert a la versión 7.9.3;
  • para los productos Merten, los clientes deben solicitar a su integrador de sistemas que aumente su clave BCU a 8 dígitos.
Detalle

La explotación de las vulnerabilidades de severidad alta podrían permitir las siguientes acciones:

  • ejecución remota de código (CVE-2023-25547, CVE-2023-25549 y CVE-2023-25550);
  • acceso a credenciales del dispositivo (CVE-2023-25548);
  • visualización de contenidos no autorizados, modificación o supresión de contenidos, o realización de funciones no autorizadas (CVE-2023-25552);
  • escalada de privilegios local (CVE-2023-25554);
  • compromiso del dispositivo (CVE-2023-25556).

Los identificadores de las vulnerabilidades de severidad media son: CVE-2023-25551, CVE-2023-25553 y CVE-2023-25555.

Encuesta valoración

Listado de referencias
StruxureWare Data Center Expert
Merten KNX devices
Etiquetas