NCSC-2025-0221 [1.00] [M/H] Kwetsbaarheden verholpen in Schneider Electric EcoStruxture IT Datacenter Expert

Schneider Electric heeft kwetsbaarheden verholpen in EcoStruxture IT Datacenter Expert. De kwetsbaarheden omvatten onder andere onvoldoende controle over speciale elementen in OS-commando's, wat kan leiden tot ongeauthenticeerde externe code-executie. Daarnaast is er een probleem met onvoldoende entropie in wachtwoordgeneratie-algoritmen, wat kan resulteren in het ontdekken van rootwachtwoorden. Verder is er een kwetsbaarheid gerelateerd aan onjuiste controle van codegeneratie, wat kan leiden tot externe opdrachtuitvoering via hostname-invoer. Ook is er een Server-Side Request Forgery (SSRF) kwetsbaarheid die ongeauthenticeerde externe code-executie mogelijk maakt door manipulatie van verborgen URL's. Bovendien is er een probleem met onjuiste privilegebeheer, wat kan leiden tot privilege-escalatie. Tot slot kan er ongeautoriseerde bestandstoegang plaatsvinden door het misbruiken van SOAP API-aanroepen en XML externe entiteiten injectie.
ncsc
09-07-2025 10:38