Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service
- Exécution de code arbitraire à distance
- Non spécifié par l'éditeur
- Élévation de privilèges
Systèmes affectés
- Easergy Studio versions antérieures à 9.3.4
- EcoStruxure EV Charging Expert versions antérieures à V6.0.0
- EcoStruxure IT Data Center Expert versions antérieures à 8.2
- EcoStruxure Power Monitoring Expert (PME) versions 2022 sans le dernier correctif de sécurité
- EVlink Home Smart versions antérieures à 2.0.6.0.0
- Harmony iPC – HMIBSC IIoT Edge Box Core (cette famille de produits est en fin de vie et ne recevra plus de correctifs de sécurité)
- Schneider Charge versions antérieures à 1.13.4
- System Monitor application dans les séries Harmony Industrial PC HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEP toutes versions, aucun correctif n'est disponible, l'éditeur recommande de désinstaller le composant
- System Monitor application dans les séries Pro-face Industrial PC PS5000 toutes versions, aucun correctif n'est disponible, l'éditeur recommande de désinstaller le composant
- Zelio Soft 2 versions antérieures à 5.4.2.2
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2024-282-01 du 08 octobre 2024 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-01.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-282-02 du 08 octobre 2024 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-02.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-282-03 du 08 octobre 2024 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-03.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-282-04 du 08 octobre 2024 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-04.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-282-05 du 08 octobre 2024 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-05.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-282-06 du 08 octobre 2024 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-06&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-06.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-282-07 du 08 octobre 2024 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-07&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-07.pdf
- Bulletin de sécurité Schneider Electric SEVD-2024-282-08 du 08 octobre 2024 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-282-08&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-282-08.pdf
- Référence CVE CVE-2024-8070 https://www.cve.org/CVERecord?id=CVE-2024-8070
- Référence CVE CVE-2024-8422 https://www.cve.org/CVERecord?id=CVE-2024-8422
- Référence CVE CVE-2024-8518 https://www.cve.org/CVERecord?id=CVE-2024-8518
- Référence CVE CVE-2024-8530 https://www.cve.org/CVERecord?id=CVE-2024-8530
- Référence CVE CVE-2024-8531 https://www.cve.org/CVERecord?id=CVE-2024-8531
- Référence CVE CVE-2024-8884 https://www.cve.org/CVERecord?id=CVE-2024-8884
- Référence CVE CVE-2024-9002 https://www.cve.org/CVERecord?id=CVE-2024-9002
- Référence CVE CVE-2024-9005 https://www.cve.org/CVERecord?id=CVE-2024-9005
