Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Schneider Electric EcoStruxure Power Monitoring Expert (PME) toutes versions sans le correctif de sécurité Hotfix-145271 Hotfix-145271
- Schneider Electric EcoStruxure Power Operation (EPO) with Advanced Reports toutes versions sans le correctif de sécurité Hotfix-145271 Hotfix-145271
- Schneider Electric EcoStruxure Power SCADA Operation with Advanced Reports toutes versions sans le correctif de sécurité Hotfix-145271 Hotfix-145271
- Schneider Electric SpaceLogic C-Bus Toolkit versions antérieures à 1.16.4
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider SEVD-2023-283-01 du 10 octobre 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-283-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-283-01.pdf
- Bulletin de sécurité Schneider SEVD-2023-283-02 du 10 octobre 2023 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-283-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-283-02.pdf
- Référence CVE CVE-2023-5391 https://www.cve.org/CVERecord?id=CVE-2023-5391
- Référence CVE CVE-2023-5399 https://www.cve.org/CVERecord?id=CVE-2023-5399
- Référence CVE CVE-2023-5402 https://www.cve.org/CVERecord?id=CVE-2023-5402
