Síntesis
Se han solucionado nuevas vulnerabilidades presentes en algunos productos de Schneider Electric, incluida una con gravedad «crítica» y cuatro con gravedad «alta», relacionadas con los productos EcoStruxure PME, Zelio Soft, System Monitor, Easergy Studio y Data Center Expert.
Riesgo
Impacto estimado de la vulnerabilidad en la comunidad de referencia: ALTO/NARANJA (72,82/100)1.
Tipología
- Arbitrary Code Execution
- Denial of Service
- Information Disclosure
- Data Manipulation
- Privilege Escalation
Productos y/o versiones afectados
- EcoStruxure Power Monitoring Expert (PME), versión 2022 y anteriores
- Zelio Soft 2, versiones anteriores a 5.4.2.2
- Aplicación System Monitor en Harmony Industrial PC, todas las versiones
- Aplicación System Monitor en Pro-face Industrial PC PS5000, todas las versiones
- Data Center Expert, versión 8.1.1.3 y anteriores
- Easergy Studio, versión 9.3.1 y anteriores
Acciones de mitigación
En línea con lo indicado por el proveedor, se recomienda actualizar los productos vulnerables siguiendo las indicaciones de los boletines de seguridad reportados en la sección Referencias. Para las versiones de productos para las cuales el proveedor aún no ha publicado actualizaciones, recomendamos seguir las mitigaciones informadas en la sección «Remediación» de los boletines de seguridad y monitorear la publicación de actualizaciones adicionales.
Identificadores únicos de vulnerabilidad
A continuación se muestran los únicos CVE relacionados con vulnerabilidades con gravedad «crítica» y «alta»:
Referencias
https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp
1Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.
