Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación 12/12/2023
Importancia
5 - Crítica
Recursos Afectados
  • Plant iT/Brewmaxx: v9.60 y posteriores (CVE-2022-0543).
  • Trio Q-Series Ethernet Data Radio:
    • versiones anteriores a 2.7.0 (CVE-2023-5629);
    • todas las versiones (CVE-2023-5630).
  • Trio E-Series Ethernet Data Radio: 
    • todas las versiones de modelos ER45e, EB45e, EH45e (CVE-2023-5629);
    • todas las versiones (CVE-2023-5630).
  • Trio J-Series Ethernet Data Radio: todas las versiones (CVE-2023-5629, CVE-2023-5630).
Descripción

Schneider Electric ha notificado 3 vulnerabilidades de severidad media, alta y crítica que podrían permitir una ejecución remota de código.

Solución
  • Schneider Electric está estableciendo un plan de corrección para todas las futuras versiones de Plant iT que incluirá la corrección de la vulnerabilidad CVE-2022-0543.
  • La versión 2.7.0 del firmware de Trio Q-Series Data Radio incluye una corrección para la vulnerabilidad CVE-2023-5629 y está disponible para su descarga. Los clientes sólo deben utilizar navegadores actualizados, para acceder a la página de inicio de sesión de Trio E and Q Series radios (Trio E-Series Ethernet Data Radio ha llegado al final de su vida útil y ya no recibe soporte.) Schneider Electric está estableciendo un plan de corrección para todas las versiones futuras de Trio J-Series Ethernet Data Radio.
  • Los productos Trio Data Radios afectados por la vulnerabilidad (CVE-2023-5630) deben instalarse en lugares seguros (ver aviso oficial para más detalle).
Detalle

La vulnerabilidad crítica afecta a Redis, una base de datos persistente de key-value, debido a un problema de empaquetado y es propensa a un escape del sandbox de Lua (específico de Debian), lo que podría resultar en la ejecución remota de código. Se ha asignado el identificador CVE-2022-0543 para esta vulnerabilidad.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2023-5629.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2023-5630.

Listado de referencias
ProLeiT Plant iT/Brewmaxx
Trio™ Licensed and License-free Data Radios
Etiquetas