PT-2021-15217 · Schneider Electric · Ecostruxure Process Expert+2
Publicado
2021-09-20
·
Atualizado
2022-04-23
·
CVE-2021-22797
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
EcoStruxure Control Expert, versões V15.0 SP1 e anteriores
EcoStruxure Process Expert, versões 2020 e anteriores
SCADAPack RemoteConnect para x70, todas as versões
Descrição
Existe uma vulnerabilidade de traversal de caminho que pode permitir a implantação de scripts maliciosos em locais não autorizados, resultando potencialmente na execução de código na estação de trabalho de engenharia quando um arquivo de projeto malicioso é carregado no software de engenharia.
Recomendações
Para as versões V15.0 SP1 e anteriores do EcoStruxure Control Expert, considere desativar o carregamento de arquivos de projeto de fontes não confiáveis até que uma correção esteja disponível.
Para as versões 2020 e anteriores do EcoStruxure Process Expert, restrinja o acesso ao software de engenharia para minimizar o risco de exploração.
Para todas as versões do SCADAPack RemoteConnect para x70, evite usar o software para carregar arquivos de projeto de fontes não confiáveis até que uma correção seja fornecida.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ecostruxure Control Expert
Ecostruxure Process Expert
Scadapack Remoteconnect For X70