Schneider Electric : Des vulnérabilités découvertes dans divers produits (AL07/250114/CSIRT-ITA)

Synthèse

De nouvelles vulnérabilités ont été détectées dans certains produits Schneider Electric – qui peuvent également être intégrés dans des solutions SCADA – dont six ont une gravité « élevée ».

Risque

Impact estimé de la vulnérabilité sur la communauté de référence : Élevé (65,12)

Typologie

• Remote Code Execution
• Denial of Service
• Security Restrictions Bypass
• Elevation of Privilege
• Information Disclosure

Produits et/ou versions concernés

Schneider Electric

• Modicon M580 CPU
• Modicon M580 CPU Safety
• BMENOR2200H
• BMXNOE0100
• BMXNOE0110
• BMXNOR0200H
• EVLink Pro AC
• Pro-face GP-Pro EX
• Pro-face Remote HMI
• Web Designer
• Modicon M340 processors
• RemoteConnect and SCADAPack^TM x70 Utilities
• PowerLogic HDPM6000

Mesures d’atténuation

Conformément aux déclarations du fournisseur, il est recommandé d’appliquer les mesures d’atténuation disponibles en suivant les conseils des bulletins de sécurité dans la section Références.

Voici uniquement les CVE pour les vulnérabilités dont la gravité est « élevée » :

Références

https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp: apre un link esterno

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-01.pdf: apre un link esterno

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-02.pdf: apre un link esterno

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-04.pdf: apre un link esterno

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-05.pdf: apre un link esterno

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-06&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-06.pdf: apre un link esterno

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-08&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-08.pdf

¹Cette estimation est réalisée en prenant en compte plusieurs paramètres, notamment : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils affectés dans la communauté de référence.