Schneider Electric›Приложениеbdu,nvd

Ecostruxure Control Expert

Уязвимости

Эксплуатируемые

Макс. CVSS

Макс. EPSS

0.261

Распределение по критичности

Критический

Высокий

Средний

Низкий

Затронутые диапазоны версий

< 14.1< 15.0< 15.1< 16.0≤ 14.0≥ 15.1

Также сопоставлено как (исходные строки): ecostruxure control expert,remoteconnect,ecostruxure_control_expert,ecostruxure_process_expert,unity_pro

Топ уязвимостей

BDU:2021-04337Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

CVE-2022-45789Существует CWE-294: Уязвимость обхода аутентификации путем захвата-воспроизведения, которая может привести к выполнению несанкционированных функций Modbus на контроллере при перехвате аутентифицированного сеанса Modbus. Затронутые продукты: EcoStruxure Control Expert (все версии), EcoStruxure Process Expert (все версии), Modicon M340 CPU - номера деталей BMXP34* (все версии), Modicon M580 CPU - номера деталей BMEP* и BMEH* (все версии), Modicon M580 CPU Safety - номера деталей BMEP58*S и BMEH58*S (все версии).

CVE-2022-37300Существует CWE-640: Слабый механизм восстановления пароля для уязвимости забытого пароля, которая может привести к несанкционированному доступу в режиме чтения и записи к контроллеру при связи по Modbus. Затронутые продукты: EcoStruxure Control Expert, включая все версии Unity Pro (прежнее название EcoStruxure Control Expert) (V15.0 SP1 и более ранние версии), EcoStruxure Process Expert, включая все версии EcoStruxure Hybrid DCS (прежнее название EcoStruxure Process Expert) (V2021 и более ранние версии), Modicon M340 CPU (номера деталей BMXP34*) (V3.40 и более ранние версии), Modicon M580 CPU (номера деталей BMEP* и BMEH*) (V3.20 и более ранние версии).

CVE-2022-26507Переполнение буфера на основе кучи существует в XML Decompression DecodeTreeBlock в AT&T Labs Xmill 0.7. Подготовленный входной файл может привести к удаленному выполнению кода. Это не то же самое, что и любое из: CVE-2021-21810, CVE-2021-21811, CVE-2021-21812, CVE-2021-21815, CVE-2021-21825, CVE-2021-21826, CVE-2021-21828, CVE-2021-21829 или CVE-2021-21830. ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только те продукты, которые больше не поддерживаются сопровождающим.

CVE-2020-7475CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection'), reflective DLL, уязвимость существует в EcoStruxure Control Expert (все версии до 14.1 Hot Fix), Unity Pro (все версии), Modicon M340 (все версии до V3.20), Modicon M580 (все версии до V3.10), которая, если ее использовать, может позволить злоумышленникам передавать вредоносный код контроллеру.

CVE-2020-28212Уязвимость CWE-307: Improper Restriction of Excessive Authentication Attempts существует в PLC Simulator в EcoStruxureª Control Expert (теперь Unity Pro) (все версии), что может привести к несанкционированному выполнению команд при проведении атаки методом грубой силы через Modbus.

BDU:2023-03273Уязвимость функции DecodeTreeBlock инструмент сжатия XML-данных Xmill связана с ошибкой границ памяти при обработке XML файла. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

BDU:2023-03269Уязвимость функции PlainTextUncompressor::UncompressItem инструмент сжатия XML-данных Xmill связана с ошибкой границ памяти при обработке XML файла. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

BDU:2023-03268Уязвимость функции CreateLabelOrAttrib инструмент сжатия XML-данных Xmill связана с ошибкой границ памяти при обработке XML файла. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

BDU:2022-04969Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, системы автоматизации технологических процессов EcoStruxure Process Expert, микропрограммного обеспечения программируемых логических контроллеров Schneider Electric Modicon M340, М580 связана с недостатком механизма восстановления пароля. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ в режиме чтения и записи по протоколу Modbus

BDU:2022-04371Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, программного средства конфигурирования SCADAPack RemoteConnect, системы автоматизации технологических процессов EcoStruxure Process Expert связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

BDU:2021-03844Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, микропрограммного обеспечения программируемого логического контроллера Schneider Electric Modicon M340 существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

BDU:2019-04185Уязвимость компонента lmgrd и компонентов демона вендора менеджера лицензий FlexNet Publisher связана с возможностью повреждения памяти при выделении или освобождении. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

CVE-2021-22779Уязвимость Authentication Bypass by Spoofing существует в EcoStruxure Control Expert (все версии до V15.0 SP1, включая все версии Unity Pro), EcoStruxure Control Expert V15.0 SP1, EcoStruxure Process Expert (все версии, включая все версии EcoStruxure Hybrid DCS), SCADAPack RemoteConnect для x70 (все версии), Modicon M580 CPU (все версии - номера деталей BMEP* и BMEH*), Modicon M340 CPU (все версии - номера деталей BMXP34*), что может привести к несанкционированному доступу в режиме чтения и записи к контроллеру путем подмены связи Modbus между инженерным программным обеспечением и контроллером.

BDU:2022-03220Уязвимость симулятора программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, системы автоматизации Process Expert, программного средства конфигурирования SCADAPack RemoteConnect и микропрограммного обеспечения программируемых логических контроллеров Modicon M580 и Modicon M340 связана с обходом аутентификации посредством спуфинга. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ в режиме чтения и записи

BDU:2021-04173Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert связана с отсутствием ограничений попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процедуру аутентификации

CVE-2023-27976CWE-668: Существует уязвимость, связанная с предоставлением ресурса не той сфере, которая может привести к удаленному выполнению кода, когда действительный пользователь посещает вредоносную ссылку, предоставленную через веб-интерфейсы. Затронутые продукты: EcoStruxure Control Expert (V15.1 и выше).

CVE-2020-28213Уязвимость CWE-494: Download of Code Without Integrity Check существует в PLC Simulator в EcoStruxureª Control Expert (теперь Unity Pro) (все версии), что может привести к несанкционированному выполнению команд при отправке специально созданных запросов через Modbus.

BDU:2023-02365Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Exper связана с недостатками разграничений контролируемой области системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

CVE-2020-7560CWE-123: Уязвимость условия «запись-что-где» существует в EcoStruxure™ Control Expert (все версии) и Unity Pro (прежнее название EcoStruxure™ Control Expert) (все версии), что может привести к сбою программного обеспечения или неожиданному выполнению кода при открытии вредоносного файла в программном обеспечении EcoStruxure™ Control Expert.

BDU:2023-01586Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) EcoStruxure Control Expert, программного средства конфигурирования SCADAPack RemoteConnect, системы автоматизации технологических процессов EcoStruxure Process Expert связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к файлам проекта

BDU:2021-01230Уязвимость программного средства программирования ПЛК (программируемых логических контроллеров) Schneider Electric EcoStruxure Control Expert связана с выходом операции за границы буфера. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или выполнить произвольный код путем открытия специально созданного файла

CVE-2023-6408CWE-924: Неправильное обеспечение целостности сообщений во время передачи в существует уязвимость канала связи, которая может вызвать отказ в обслуживании и потерю конфиденциальности, целостности контроллеров при проведении атаки типа «Человек посередине».

BDU:2024-01202Уязвимость микропрограммного обеспечения программируемых логических контроллеров (ПЛК) Schneider Electric Modicon M340 CPU BMXP34, M580 CPU BMEP, M580 CPU BMEH, M580 CPU Safety BMEP58*S, M580 CPU Safety BMEH58*S, программных средств программирования ПЛК EcoStruxure Control Expert и EcoStruxure Process Expert связана с отсутствием проверки целостности сообщений при их передаче в канале связи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку «человек посередине»

Перейти к вендору →Открыть в каталоге с фильтром по продукту →