Serveis / Alertes

Execució d’ordres de Schneider Electric C-Bus Automation Controller

ALERTES

31/05/2022

En Anàlisi

ALT: (8.8)

CVSS6: 8.0

Schneider Electric C-Bus Automation Controller podria permetre a un atacant remot autenticat executar ordres arbitràries en el sistema, causades per una validació d’entrada inadequada per part de l’editor de scripts Start-up (init). Enviant una sol·licitud especialment elaborada al paràmetre POST “script” per inserir un script Lua maliciós, un atacant podria explotar aquesta vulnerabilitat per executar ordres arbitràries amb privilegis arrel al sistema.

Sistemes Afectats

Schneider Electric C-Bus Automation Controller 1.10

Remediació
No hi ha cap remei disponible a partir del 30 de maig de 2022.

Referències

https://packetstormsecurity.com/files/167304
https://www.se.com/ww/en/product/5500AC2/application-controller-spacelogic-cbus-rs232-485-ethernet-din-mount-24v-dc/

Agència Nacional de Ciberseguretat d’Andorra

Serveis / Alertes

Execució d’ordres de Schneider Electric C-Bus Automation Controller

Entitats col·laboradores

Recent Posts