В ПО Schneider Electric ProClima обнаружены критические уязвимости

В ПО Schneider Electric ProClima обнаружены критические уязвимости

Их эксплуатация позволяет неавторизованному злоумышленнику удаленно выполнить произвольный код на системе.

Компания Schneider Electric предупредила о трех критических уязвимостях в своем продукте ProClima — ПО для расчета тепловых режимов в шкафах, в которых есть электротехническое и электронное оборудование. Эксплуатация уязвимостей позволяет неавторизованному злоумышленнику удаленно выполнить произвольный код на системе.

Уязвимости затрагивают все версии ProClima до 8.0.0. Первая уязвимость (CVE-2019-6823) связана с некорректным управлением генерирования кода (внедрение кода) и получила оценку 8,8 балла по шкале CVSS v3, вторая (CVE-2019-6824) — с выполнением операций за пределами буфера памяти (9,8 балла), а последняя — с неконтролируемым элементом пути поиска (7,8 балла). Их эксплуатация позволяет неавторизованному злоумышленнику удаленно выполнить произвольный код на системе.

Компания Schneider Electric исправила уязвимости с выпуском версии ProClima 8.0.0 и рекомендует пользователям обновить программное обеспечение.

Напомним, ранее в этом месяце в ряде программируемых логических контроллеров (ПЛК) Modicon от компании Schneider Electric было обнаружено 11 проблем. Эксплуатация некоторых уязвимостей позволяла вызвать отказ в обслуживании.


Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей.