Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
Systèmes affectés
- Schneider Electric PowerLogic HDPM6000 versions antérieures à 0.58.7
- Schneider Electric EcoStruxure Power Monitoring Expert version antérieures à 2022 CU1
- IGSS Data Server versions antérieures à 16.0.0.23041
- IGSS Dashboard versions antérieures à 16.0.0.23041
- IGSS Custom Reports versions antérieures à 16.0.0.23041
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2023-073-01 du 14 mars 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-01.pdf - Bulletin de sécurité Schneider Electric SEVD-2023-073-02 du 14 mars 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-02.pdf - Bulletin de sécurité Schneider Electric SEVD-2023-073-04 du 14 mars 2023
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-04.pdf - Référence CVE CVE-2023-28003
https://www.cve.org/CVERecord?id=CVE-2023-28003 - Référence CVE CVE-2023-28004
https://www.cve.org/CVERecord?id=CVE-2023-28004 - Référence CVE CVE-2023-27980
https://www.cve.org/CVERecord?id=CVE-2023-27980 - Référence CVE CVE-2023-27982
https://www.cve.org/CVERecord?id=CVE-2023-27982 - Référence CVE CVE-2023-27978
https://www.cve.org/CVERecord?id=CVE-2023-27978 - Référence CVE CVE-2023-27981
https://www.cve.org/CVERecord?id=CVE-2023-27981 - Référence CVE CVE-2023-27984
https://www.cve.org/CVERecord?id=CVE-2023-27984 - Référence CVE CVE-2023-27977
https://www.cve.org/CVERecord?id=CVE-2023-27977 - Référence CVE CVE-2023-27979
https://www.cve.org/CVERecord?id=CVE-2023-27979 - Référence CVE CVE-2023-27983
https://www.cve.org/CVERecord?id=CVE-2023-27983