Schneider Electric sanoat mahsulotlarida xavfli zaifliklar aniqlandi.
Floating License Manager va IGSS yechimlaridagi zaifliklardan foydalanish litsenziyani chetlab o‘tish yoki tizimga xizmat ko‘rsatishni rad etish imkonini beradi.
Schneider Electric kompaniyasining Floating License Manager va Schneider Electric Interactive Graphical SCADA System (IGSS) mahsulotlarida jami beshta yuqori xavfli zaiflik aniqlandi. Ushbu zaifliklardan muvaffaqiyatli foydalanish xizmatni rad etishga, kodning o’zboshimchalik bilan bajarilishiga yoki mahsulot litsenziyasini chetlab o’tishga olib kelishi mumkin. Floating License Manager yechimi muhim sohalarda qo’llaniladigan ko’plab mashhur Schneider Electric mahsulotlariga kiritilgan. Dasturiy ta’minotda (2.3.0.0 va undan oldingi versiyalar) to’rtta zaiflik (CVE-2018-20031, CVE-2018-20032, CVE-2018-20033 va CVE-2018-20034) topilgan bo’lib, ular ishlab chiqaruvchining demonini o’chirib qo’yishga imkon beradi. Ishlab chiqaruvchi allaqachon dasturning yamalgan versiyasini, 2.3.1.0 versiyasini chiqargan.
CVE-2018-20031, CVE-2018-20032 va CVE-2018-20034 zaifliklarining jiddiylik darajasi CVSS v3 shkalasi bo’yicha 7,5 ball, CVE-2018-20033 esa 9,8 ball deb baholanmoqda.
IGSS dispetcherlik boshqaruvi tizimida dasturiy ta’minotning ishlamay qolishiga yoki kod bajarilishiga imkon beruvchi zaiflik (CVE-2019-6827) topildi. Ilova maxsus yaratilgan loyiha faylini qayta ishlaganda xatolikdan foydalanish mumkin. Zaiflik 14 va undan oldingi versiyalarga ta’sir qiladi. 13.0.0.19140 va 14.0.0.19120 yamalgan versiyalari allaqachon ishlab chiqaruvchining veb-saytida mavjud. Tizim transportni boshqarish tizimlari, kemasozlik va binolarni boshqarish tizimlarini o’z ichiga olgan ko’plab sohalarda nazorat va monitoring uchun ishlatiladi.
