[SCI] Múltiples vulnerabilidades en productos de Schneider Electric

Introducción

Schneider Electric[1], ha detectado 6 vulnerabilidades: 2 de severidad crítica, 3 de severidad alta y 1 de severidad media. Estas vulnerabilidades podrían permitir a un atacante ejecutar código de forma remota, realizar una escalada de privilegios, evitar una autenticación para acceder a la aplicación o provocar una denegación de servicio.

 

Análisis

Las vulnerabilidades de severidad crítica afectan al APC Easy UPS Online Monitoring Software con versión V2.5-GA y posteriores y versión V2.5-GA-01-22261 y posteriores.

CVE-2022-42970: Esta vulnerabilidad podría permitir a un atacante acceso sin necesidad de autenticación e interactuar con una funcionalidad que requiere una identidad de usuario demostrable, lo que provocaría un gran consumo de recursos.

CVE-2022-42971: La explotación de esta vulnerabilidad de severidad crítica podría permitir a un atacante cargar un archivo JSP malicioso produciendo una ejecución remota de código.

 

Recomendaciones

Schneider Electric recomienda a los usuarios actualizar el software a la versión 2.5-GA-01-22320 de APC Easy UPS Online Monitoring para las vulnerabilidades que afectan a Windows 7, 10, 11, y Windows Server 2016, 2019, y 2022.

 

Referencias

[1] Schneider Electric Security Notification