Falsification de requêtes côté serveur (SSRF) : de multiples vulnérabilités découvertes dans les produits Schneider Electric

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance.

Risques

• Atteinte à la confidentialité des données
• Contournement de la politique de sécurité
• Déni de service à distance
• Exécution de code arbitraire à distance
• Falsification de requêtes côté serveur (SSRF)
• Élévation de privilèges

Systèmes affectés

• EcoStruxure IT Data Center Expert versions antérieures ou égales à 8.3
• EcoStruxure Power Monitoring Expert (PME) versions antérieures à 2023
• EcoStruxure Power Monitoring Expert (PME) versions antérieures à 2023 R2
• EcoStruxure Power Monitoring Expert (PME) versions antérieures à 2024
• EcoStruxure Power Monitoring Expert (PME) versions antérieures à 2024 R2
• EcoStruxure Power Operation (EPO) 2022 versions antérieures ou égales à CU6 pour les vulnérabilités CVE-2023-50447, CVE-2024-28219, CVE-2022-45198, CVE-2023-5217, CVE-2023-35945 et CVE-2023-44487.
• EcoStruxure Power Operation (EPO) 2024 versions antérieures ou égales à CU1 pour les vulnérabilités CVE-2023-50447, CVE-2024-28219, CVE-2022-45198, CVE-2023-5217, CVE-2023-35945 et CVE-2023-44487.
• EcoStruxure Power Operation (EPO) Advanced Reporting and Dashboards Module versions antérieures à 2022 pour la vulnérabilité CVE-2025-6788
• EcoStruxure Power Operation (EPO) Advanced Reporting and Dashboards Module versions antérieures à 2024 pour la vulnérabilité CVE-2025-6788

Solutions

• Mettre à jour les systèmes affectés

Source : CERT-FR