В Schneider Electric Struxureware исправлена опасная уязвимость

Для ПО Schneider Electric Struxureware было выпущено исправление безопасности, устраняющее опасную уязвимость в продукте. Ошибка существовала из-за использования слабого пароля по умолчанию и позволяла удаленному пользователю выполнить произвольные команды.

Уязвимость затрагивает Struxureware Application Server 1.7 и более ранних версий. Как сообщается в бюллетене ICS-CERT, эксплуатация уязвимостей не требует особых навыков и может быть осуществлена любым аутентифицированным пользователям.

Компания выпустила обращение к клиентам, где признала наличие уязвимости и порекомендовала как можно скорее установить исправление. В обновленной версии Struxureware Application Server использование паролей по умолчанию допускаться не будет.

Компания также исправила уязвимость, позволяющую администраторам обойти средства контроля доступа в Minimal Shell. Ошибка была обнаружена в декабре 2015 года исследователем безопасности Карном Ганешеном (Karn Ganeshen). Подробная информация об уязвимости в настоящее время неизвестна.