Argitalpen data: 2021/02/10
Garrantzia: Altua
Kaltetutako baliabideak:
- ION7400, V3.0.0 bertsioaren aurreko guztiak;
- ION7650, bertsio guztiak;
- ION7700/73xx, bertsio guztiak (CVE-2021-22702 kodeak soilik eragin dio);
- ION83xx/84xx/85xx/8600, bertsio guztiak;
- ION8650, 4.31.2 bertsioaren aurreko guztiak;
- ION8800, bertsio guztiak;
- ION9000, V3.0.0 bertsioaren aurreko guztiak;
- PM8000, V3.0.0 bertsioaren aurreko guztiak;
Azalpena:
Schneider Electric erakundeak adierazi duPowerLogic neurketa elektrikoaren produktuetan hiru ahultasun antzeman dituela,eta, horien bidez, erabiltzaile-kredentzialak argitara daitezkeela, edota nahiez diren ekintzak burutu gailu batean HTTP erabiltzen denean. Horren ondorioz,gailuan nahi ez den jokabideren bat eragin liteke.
Konponbidea:
- ION7400 V3.0.0 bertsiora eguneratzea.
- ION8650 4.31.2 bertsiora eguneratzea.
- ION9000 V3.0.0 bertsiora eguneratzea.
- PM8000 V3.0.0 bertsiora eguneratzea.
Produktu hauetarako ez dago ahultasunakkonpontzeko partxerik. Schneider Electric erakundeak Telnet eta HTTP zerbitzuakdesgaitzea gomendatzen du.
- ION7650,
- ION8800.
Partxerik ez dagoen hurrengo produktuenkasuan, Schneider Electricek gomendatzen du Telnet eta HTTP zerbitzuakdesgaitzeko, eta produktu modernoagoetara eguneratzeko, ez baitaukatelaguntza-zerbitzurik ere.
- ION7700/73xx,
- ION83xx/84xx/85xx/8600.
Xehetasunak:
PowerLogic produktuetan antzemandakoahultasunak Cross-Site Request Forgery motako ahultasun bati dagozkio, zeinarenbidez, erabiltzaile batek nahi ez den ekintza bat burutu lezake gailuan, HTTPbidez; beste bi ahultasun informazio sentikorra testu argi bideztransmititzeari dagokio, eta, horrela, erabiltzaile-kredentzialen zabalkundeaegin liteke Telnet bidez edo HTTP bidez.
Ahultasun horietarako CVE-2021-22701,CVE-2021-22702 eta CVE-2021-22703 identifikatzaileak esleitu dira.
Etiketak: Eguneratzea, Komunikazioak, Azpiegitura kritikoak, Schneider Electric, Ahultasuna.