Alvorlige huller i Schneider Electric-software står åbne

Flere sårbarheder i U.motion Builder er ikke blevet rettet af producenten Schneider Electric.

Flere af sårbarhederne er alvorlige. Angribere kan udnytte dem til at afvikle kommandoer på det sårbare system.

Zero Day Initiative kontaktede Schneider Electric om en stribe sårbarheder i U.motion Builder i foråret 2016. Kontakten gik gennem ICS-CERT (Industrial Control Systems Cyber Emergency Response Team).

I august 2016 oplyste ICS-CERT, at producenten havde brug for mere tid til at lukke hullerne. Normalt offentliggør Zero Day Initiative sårbarheder 120 dage efter, at de har gjort producenten opmærksom på dem.

Siden september har Zero Day Initiative ikke hørt fra ICS-CERT eller Schneider Electric. Nu har de offentliggjort oplysninger om ti sårbarheder i U.motion Builder.

Anbefaling

Isoler systemer med U.motion Builder, indtil en rettelse er klar.

Links

(0Day) Schneider Electric U.motion Builder xmlserver SQL Injection Remote Code Execution Vulnerability, Zero Day Initiative
(0Day) Schneider Electric U.motion Builder SOAP Request Remote SQL Command Execution Vulnerability, Zero Day Initiative

Keywords:

sårbarheder

Schneider Electric

Top links

Sprog

DKCERT

Alvorlige huller i Schneider Electric-software står åbne

Anbefaling

Links

RRSSB