PT-2020-16947 · Schneider Electric · Ecostruxure Control Expert
Publicado
2020-11-19
·
Atualizado
2022-01-31
·
CVE-2020-28213
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
EcoStruxureª Control Expert (agora Unity Pro) (todas as versões)
Descrição
Existe uma vulnerabilidade CWE-494: Download de código sem verificação de integridade no Simulador de PLC que pode causar a execução não autorizada de comandos ao enviar solicitações especialmente criadas via Modbus.
Recomendações
Para todas as versões, considere restringir o acesso ao protocolo Modbus para minimizar o risco de exploração até que um patch esteja disponível.
Como solução alternativa temporária, considere desativar a funcionalidade do Simulador de PLC até que uma correção seja fornecida.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ecostruxure Control Expert