Fecha de publicación: 13/05/2020
Importancia:
Alta
Recursos afectados:
- GP-Pro EX, versiones desde la versión 1.00, hasta la versión 4.09.100;
- Vijeo Designer Basic, versión 1.1 HotFix 16 y anteriores;
- Vijeo Designer, versión 6.2 SP9 y anteriores;
- MTN6501-0001 ? U.Motion ? KNX Server;
- MTN6501-0002 ? U.Motion ? KNX Server Plus;
- MTN6260-0410 ? U.Motion KNX server Plus, Touch 10;
- MTN6260-0415 ? U.Motion KNX server Plus, Touch 15;
- MTN6260-0310 ? U.Motion KNX Client Touch 10;
- MTN6260-0315 ? U.Motion KNX Client Touch 15.
Descripción:
Varios investigadores de seguridad han reportado a Schneider Electric 4 vulnerabilidades, una de criticidad alta y 3 de criticidad media. Estas vulnerabilidades son del tipo requisitos de contraseñas débiles, credenciales embebidas, control de acceso inadecuado e inyección SQL.
Solución:
- Actualizar GP-Pro EX a la versión 4.09.120;
- Actualizar Vijeo Designer Basic a la versión 1.1 HotFix 17. Para obtener la actualización es necesario ponerse en contacto con el servicio de soporte de Schneider Electric;
- Vijeo Designer recibirá la actualización en el próximo service pack;
- Actualizar los dispositivos U.Motion Servers y Touch panels a la versión 1.4.2, consultar la sección de Referencias para obtener la actualización específica para cada dispositivo.
Detalle:
- La vulnerabilidad de criticidad alta afecta a los dispositivos Vijeo Designer y Designer Basic. Un atacante remoto podría utilizar credenciales embebidas para realizar modificaciones en el proyecto o firmware. Se ha reservado el identificador CVE-2020-7501 para esta vulnerabilidad.
- A las vulnerabilidades de criticidad media se les han reservado los identificadores CVE-2020-7492, CVE-2020-7492 y CVE-2020-7500.
Etiquetas:
Actualización, Schneider Electric, Vulnerabilidad