Schneider Electric EcoStruxture IT Datacenter Expert fixes [NCSC-2025-0221]1.00]M/H] Risico’s

 

Deze site converteert automatisch de platte tekst van gevestigde adviseurs naar HTML. Het is mogelijk om gegevens te verliezen. De toonaangevende soorten SignedPGP zijn.

Publicatie Kans Schade    
  Versie 1.00 vandaag NCSC-2025-0221  
 

medium

high

 
vandaag

medium

high

NCSC-2025-221]1.00] ,(),
Kenmerken

Kenmerken

  • Verbeteren van de eliminatie van specifieke elementen van OS Command
  • Inefficiënte willekeur
  • Verbeterde codeinjectie (‘Codeinjectie’): Betere controle op het genereren van code
  • Verbetering van het referentiegewicht van de XML-externe entiteit
  • Server-side verzoek vervalsing ( SSRF)
  • Imprinter Privilege Management
Omschrijving

Omschrijving

Schneider Electric heeft kwetsbaarheden verholpen in EcoStruxture IT Datacenter Expert. De kwetsbaarheden omvatten onder andere onvoldoende controle over speciale elementen in OS-commando’s, wat kan leiden tot ongeauthenticeerde externe code-executie. Daarnaast is er een probleem met onvoldoende entropie in wachtwoordgeneratie-algoritmen, wat kan resulteren in het ontdekken van rootwachtwoorden. Verder is er een kwetsbaarheid gerelateerd aan onjuiste controle van codegeneratie, wat kan leiden tot externe opdrachtuitvoering via hostname-invoer. Ook is er een Server-side verzoek vervalsing ( SSRF) kwetsbaarheid die ongeauthenticeerde externe code-executie mogelijk maakt door manipulatie van verborgen URL’s. Bovendien is er een probleem met onjuiste privilegebeheer, wat kan leiden tot privilege-escalatie. Tot slot kan er ongeautoriseerde bestandstoegang plaatsvinden door het misbruiken van SOAP API-aanroepen en XML externe entiteiten injectie.

Bereik

Bereik

Platforms Producten Versies

Professional bij Schneider Electric’s EcoStruxureTM IT Gegevenscentrum

<=8.3

Oplossingen

Oplossingen

Schneider Electric heeft veranderingen aangebracht om de gebreken op te lossen. Voor meer details, zie de bijgevoegde links. ] ]

CVE’s

CVE’s

, , , , CVE-2025-5124,

  Versie 1.00 vandaag NCSC-2025-0221  
 

medium

high

 
vandaag

medium

high

NCSC-2025-221]1.00] ,(),

Vrijwaringsverklaring

U stemt in met de volgende voorwaarden door gebruik te maken van dit beveiligingsadvies. De NCSC garandeert nooit de nauwkeurigheid, nauwkeurigheid of actuele actualiteit van dit beschermingsadvies, ondanks de hoogste zorg van het NCSC bij de voorbereiding. Het beveiligingsadvies dat hierin staat is alleen bedoeld als standaardadvies voor professionals. De informatie in deze veiligheidstips geeft geen enkel recht.
Het NCSC en de staat zijn niet verantwoordelijk voor enige schade veroorzaakt door het gebruik van of de mogelijkheid om deze beveiligingsrichtsnoeren te gebruiken, met inbegrip van schade veroorzaakt door onjuiste of onvolledige informatie.
Dit veiligheidsadvies is onderworpen aan de Franse wetgeving. De enige rechtszaal in DenHaag kan alle geschillen horen die verband houden met en/of voortvloeien uit dit veiligheidsadvies. De gerechten voor tijd comfort zijn ook onderworpen aan deze beslissing van de wetgeving.

Plaats een reactie