В решениях IIoT Monitor, Pro-face GP-Pro EX и Zelio Soft 2 производства компании Schneider Electric выявлены опасные уязвимости, предоставляющие возможность загрузить и исполнить вредоносные файлы, модифицировать код для запуска произвольного исполняемого файла или удаленно выполненить код.

В частности, мониторинговая платформа IIoT Monitor (версия 3.1.38 и более ранние) содержит три уязвимости — CVE-2018-7835, CVE-2018-7836 и CVE-2018-7837. Первая представляет собой уязвимость обхода каталога и позволяет получить доступ к файлам, доступным только для пользователей с привилегиями уровня SYSTEM. Вторая уязвимость предоставляет возможность загрузить и выполнить вредоносные файлы, а третья – раскрыть ограниченную информацию.

В программном комплексе Pro-face GP-Pro EX выявлена уязвимость (CVE-2018-7832), позволяющая инициировать запуск произвольного исполняемого файла. Проблема существует из-за ошибки в коде. Уязвимость затрагивает версии Pro-face GP-Pro EX 4.08 и ниже. Степень ее опасности оценена в 9.0 балла из 10 по шкале CVSS v3.

Одна уязвимость (CVE-2018-7817) была обнаружена в программном обеспечении Zelio Soft 2 для интеллектуальных реле Zelio Logic. Проэксплуатировав проблему, атакующий может удаленно выполнить код при открытии специально сформированного файла проекта. Уязвимости подвержены версии Zelio Soft 2 5.1 и более ранние.

Обновления, устраняющие вышеуказанные проблемы, доступны на сайте производителя.

Источник: securitylab.ru