AVIS DU CERTFR - 2017 - AVI - 399

Objet : Vulnérabilité dans Schneider Electric EcoStruxure Power Monitoring Expert et EcoStruxure Building Operation  

Référence : CERTFR-2017-AVI-399  

Risque(s)  

- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)

Systèmes affectés  

- EcoStruxure Power Monitoring Expert 8.2
- EcoStruxure Power Monitoring Expert 8.1
- EcoStruxure Power Monitoring Expert 8.0
- EcoStruxure Power Monitoring Expert versions 7.2.x
- EcoStruxure Building Operation - Energy Expert (anciennement Power Manager) versions 1.x

Résumé  

Une vulnérabilité a été découverte dans Schneider Electric EcoStruxure Power Monitoring Expert et EcoStruxure Building Operation. Elle permet à un attaquant de provoquer une atteinte à l'intégrité des données, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).

Solution  

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation  

- Bulletin de sécurité Schneider Electric SEVD-2017-311-01 du 6 novembre 2017

https://www.schneider-electric.com/en/download/document/SEVD-2017-311-01/

- Référence CVE CVE-2017-11357

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11357

Dernière version de ce document: https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-399/