Introducción
Schneider Electric ha publicado avisos que recogen información sobre 9 vulnerabilidades: 1 de severidad crítica, 5 altas y 3 medias. La explotación de estas vulnerabilidades podría provocar un desbordamiento de búfer, una condición de denegación de servicio (DoS) o una ejecución remota de código.
La vulnerabilidad afecta al PowerLogic™ HDPM6000[1] y a la familia IGSS v16[2]
Análisis
CVE-2023-28004: Esta vulnerabilidad de severidad crítica se basa en la validación incorrecta del índice de un array, lo que podría provocar una denegación de servicio o la ejecución remota de código mediante el envío de una solicitud Ethernet especialmente diseñada.
Recomendaciones
Schneider Electric recomienda actualizar los productos afectados a las siguientes versiones correctoras:
- PowerLogic™ HDPM6000, versiones 0.58.7 o posteriores.
- IGSS Data Server, Dashboard y Custom Reports, versión 16.0.0.23041.
Referencias
[1] PowerLogic ™ HDPM6000[2] IGSS (Interactive Graphical SCADA System)