Vulnérabilité dans les produits Schneider Electric

Gestion du document

Référence	CERTFR-2024-AVI-0549
Titre	Vulnérabilité dans les produits Schneider Electric
Date de la première version	09 juillet 2024
Date de la dernière version	09 juillet 2024
Source(s)	Bulletin de sécurité Schneider Electric SEVD-2024-191-04 du 09 juillet 2024
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risques

Contournement de la politique de sécurité
Injection de code indirecte à distance (XSS)

Systèmes affectés

Modicon Controllers M241 / M251 toutes versions pour la vulnérabilité CVE-2024-6528
Modicon Controllers M258 / LMC058 toutes versions pour la vulnérabilité CVE-2024-6528
Modicon Controllers M262 toutes versions pour la vulnérabilité CVE-2024-6528

L'éditeur indique que le correctif n'est pas encore disponible pour la vulnérabilité CVE-2024-6528. Cependant, des actions sont proposées pour réduire le risque d'exploitation.

Résumé

Une vulnérabilité a été découverte dans les produits Schneider Electric. Elle permet à un attaquant de provoquer une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Schneider Electric SEVD-2024-191-04 du 09 juillet 2024

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-191-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-191-04.pdf

Référence CVE CVE-2024-6528

https://www.cve.org/CVERecord?id=CVE-2024-6528

Avis du CERT-FR

Objet: Vulnérabilité dans les produits Schneider Electric