W produkcie Schneider Electric EcoStruxure IT Gateway wykryto krytyczną podatność typu Missing Authorization (CWE-862), umożliwiającą nieautoryzowany dostęp do systemu. Podatność otrzymała maksymalną ocenę CVSS 10.0, co wskazuje na skrajnie wysokie ryzyko dla środowisk, w których urządzenie jest dostępne sieciowo.
▸ Pokaż oryginał (EN)
CWE-862: Missing Authorization vulnerability exists that could cause unauthorized access when enabled on the network and potentially impacting connected devices.
Podatność polega na braku mechanizmów autoryzacji chroniących określone funkcje lub zasoby systemu EcoStruxure IT Gateway. Nieuwierzytelniony zdalny atakujący, bez konieczności interakcji ze strony użytkownika, może uzyskać dostęp do chronionych zasobów poprzez sieć. W konsekwencji możliwe jest również oddziaływanie na urządzenia podłączone do gateway'a.
Atakujący może uzyskać nieautoryzowany dostęp do systemu zarządzania infrastrukturą IT oraz potencjalnie wpłynąć na dostępność, integralność i poufność danych oraz podłączonych urządzeń. Ze względu na wektor sieciowy i brak wymagań wstępnych, skala możliwych szkód jest bardzo szeroka.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach zawiera biuletyn bezpieczeństwa Schneider Electric dostępny pod adresem: https://download.schneider-electric.com/doc/SEVD-2024-317-04/SEVD-2024-317-04.pdf
Schneider Electric EcoStruxure IT Gateway — wersje wskazane w referencjach producenta (dokument SEVD-2024-317-04)
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:L/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XSchneider Electric Ecostruxure It Gateway
APPSchneider-Electric1.21.0.61.22.0.31.22.1.51.23.0.4
Powiązane podatności
CWE-798: Use of hard-coded credentials vulnerability exists that could cause local privilege escalation when l...
In Fazecast jSerialComm, Version 2.2.2 and prior, an uncontrolled search path element vulnerability could allo...
A SQL Injection (CWE-89) vulnerability exists in U.motion Builder software version 1.3.4 which could cause unw...
Ujawnienie poświadczeń w urządzeniu Schneider Electric WHC-5918A
Out-of-bounds Write umożliwiający Auth Bypass w Schneider Electric Sage RTU