CRITICAL🇬🇧 English

CVE-2024-10575

Brak autoryzacji w Schneider Electric EcoStruxure IT Gateway (CVSS 10.0)

CVSS 10.0v4.0pub. 2024-11-13upd. 2024-11-19

W produkcie Schneider Electric EcoStruxure IT Gateway wykryto krytyczną podatność typu Missing Authorization (CWE-862), umożliwiającą nieautoryzowany dostęp do systemu. Podatność otrzymała maksymalną ocenę CVSS 10.0, co wskazuje na skrajnie wysokie ryzyko dla środowisk, w których urządzenie jest dostępne sieciowo.

Pokaż oryginał (EN)

CWE-862: Missing Authorization vulnerability exists that could cause unauthorized access when enabled on the network and potentially impacting connected devices.

🤖 Analiza AI
Jak działa

Podatność polega na braku mechanizmów autoryzacji chroniących określone funkcje lub zasoby systemu EcoStruxure IT Gateway. Nieuwierzytelniony zdalny atakujący, bez konieczności interakcji ze strony użytkownika, może uzyskać dostęp do chronionych zasobów poprzez sieć. W konsekwencji możliwe jest również oddziaływanie na urządzenia podłączone do gateway'a.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do systemu zarządzania infrastrukturą IT oraz potencjalnie wpłynąć na dostępność, integralność i poufność danych oraz podłączonych urządzeń. Ze względu na wektor sieciowy i brak wymagań wstępnych, skala możliwych szkód jest bardzo szeroka.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach zawiera biuletyn bezpieczeństwa Schneider Electric dostępny pod adresem: https://download.schneider-electric.com/doc/SEVD-2024-317-04/SEVD-2024-317-04.pdf

Kogo dotyczy

Schneider Electric EcoStruxure IT Gateway — wersje wskazane w referencjach producenta (dokument SEVD-2024-317-04)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:L/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Schneider Electric Ecostruxure It Gateway

    APP
    Schneider-Electric
    1.21.0.61.22.0.31.22.1.51.23.0.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-0865HIGH7.8ten sam produkt

CWE-798: Use of hard-coded credentials vulnerability exists that could cause local privilege escalation when l...

CVE-2020-10626HIGH7.8ten sam produkt

In Fazecast jSerialComm, Version 2.2.2 and prior, an uncontrolled search path element vulnerability could allo...

CVE-2018-7841CRITICAL9.8⚠ KEVten sam vendor

A SQL Injection (CWE-89) vulnerability exists in U.motion Builder software version 1.3.4 which could cause unw...

CVE-2024-6407CRITICAL9.8PL ✓ten sam vendor

Ujawnienie poświadczeń w urządzeniu Schneider Electric WHC-5918A

CVE-2024-37036CRITICAL9.8PL ✓ten sam vendor

Out-of-bounds Write umożliwiający Auth Bypass w Schneider Electric Sage RTU