Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- APC Easy UPS Online Monitoring versions antérieures à 2.6-GA
- Easergy Builder installer versions antérieures à V1.7.24
- Easy Harmony ET6 (HMIET Series) et Easy Harmony GXU (HMIGXU Series) avec Vijeo Designer Basic versions antérieures à V1.2.1 Hotfix 4
- Eco/Pro/Pro2
- EcoStruxure Control Expert versions antérieures à V15.3
- HMISCU Controller
- InsightHome, InsightFacility et Conext Gateway versions antérieures à 1.17 Build 079
- Modicon Controller LMC058
- Modicon Controller M218
- Modicon Controller M241
- Modicon Controller M251
- Modicon Controller M258
- Modicon Controller M262
- Modicon M340 CPU versions antérieures à SV3.51
- Modicon M580 Ethernet Communication Modules (BMENOC0301 et BMENOC0311) versions antérieures à SV2.21
- Modicon M580 NOC Control (BMENOC0321) versions antérieures à 1.8
- Modicon M580 versions antérieures à SV4.10
- Modicon Modicon M340 CPU (part numbers BMXP34*) versions antérieures à SV3.51
- PacDrive 3 Controllers LMC
- PacDrive Controller LMC078
- Schneider Electric Easy UPS Online versions antérieures à 2.6-GS
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2021-313-05 du 09 novembre 2021 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-313-05_BadAlloc_Vulnerabilities_Security_Notification.pdf
- Bulletin de sécurité Schneider Electric SEVD-2022-011-06 du 11 janvier 2022 https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-011-06_CODESYSV3_Runtime_Development_System_and_Gateway_Security_Notification.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-010-05 du 10 janvier 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-010-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-010-05_Modicon_Controllers_Security_Notification.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-101-01 du 11 avril 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-01.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-101-02 du 11 avril 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-02.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-101-03 du 11 avril 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-03.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-101-04 du 11 avril 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-04.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-101-05 du 11 avril 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-05.pdf
- Bulletin de sécurité Schneider Electric SEVD-2023-101-06 du 11 avril 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-06&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-06.pdf
- Référence CVE CVE-2020-28895 https://www.cve.org/CVERecord?id=CVE-2020-28895
- Référence CVE CVE-2020-35198 https://www.cve.org/CVERecord?id=CVE-2020-35198
- Référence CVE CVE-2021-29241 https://www.cve.org/CVERecord?id=CVE-2021-29241
- Référence CVE CVE-2022-34755 https://www.cve.org/CVERecord?id=CVE-2022-34755
- Référence CVE CVE-2022-4046 https://www.cve.org/CVERecord?id=CVE-2022-4046
- Référence CVE CVE-2022-4224 https://www.cve.org/CVERecord?id=CVE-2022-4224
- Référence CVE CVE-2022-45788 https://www.cve.org/CVERecord?id=CVE-2022-45788
- Référence CVE CVE-2023-1548 https://www.cve.org/CVERecord?id=CVE-2023-1548
- Référence CVE CVE-2023-25619 https://www.cve.org/CVERecord?id=CVE-2023-25619
- Référence CVE CVE-2023-25620 https://www.cve.org/CVERecord?id=CVE-2023-25620
- Référence CVE CVE-2023-27976 https://www.cve.org/CVERecord?id=CVE-2023-27976
- Référence CVE CVE-2023-28355 https://www.cve.org/CVERecord?id=CVE-2023-28355
- Référence CVE CVE-2023-29410 https://www.cve.org/CVERecord?id=CVE-2023-29410
- Référence CVE CVE-2023-29411 https://www.cve.org/CVERecord?id=CVE-2023-29411
- Référence CVE CVE-2023-29412 https://www.cve.org/CVERecord?id=CVE-2023-29412
- Référence CVE CVE-2023-29413 https://www.cve.org/CVERecord?id=CVE-2023-29413