PT-2020-6280 · Schneider Electric · Unity Pro+3
Publicado
2020-03-20
·
Atualizado
2022-02-03
·
CVE-2020-7475
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do EcoStruxure Control Expert anteriores à correção 14.1
Versões do Unity Pro (todas as versões)
Versões do Modicon M340 anteriores à V3.20
Versões do Modicon M580 anteriores à V3.10
Descrição
Existe uma vulnerabilidade devido à neutralização inadequada de elementos especiais na saída utilizada por um componente a jusante, o que poderia permitir que invasores transferissem código malicioso para o controlador. Este problema afeta controladores lógicos programáveis (PLCs) utilizados em diversas produções para automatizar processos tecnológicos. A vulnerabilidade pode ser explorada para obter controle sobre o PLC e usá-lo como um ponto intermediário para acessar a rede tecnológica interna.
Recomendações
Para versões do EcoStruxure Control Expert anteriores à 14.1 Hot Fix, atualize para a versão 14.1 Hot Fix ou posterior.
Para versões do Unity Pro, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Para versões do Modicon M340 anteriores à V3.20, atualize para a versão V3.20 ou posterior.
Para versões do Modicon M580 anteriores à V3.10, atualize para a versão V3.10 ou posterior.
Como solução alternativa temporária, considere restringir o acesso aos componentes vulneráveis até que um patch esteja disponível.
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ecostruxure Control Expert
Modicon M340
Modicon M580
Unity Pro