JVNVU#91835971
複数のSchneider Electric製品における複数の脆弱性

Schneider Electricが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2024-8306

• Schneider Electric Vijeo Designer 6.3 SP1より前のバージョン
• Schneider Electric Vijeo Designer embedded in EcoStruxure Machine Expert 全バージョン

• Schneider Electric EcoStruxure Power Monitoring Expert (PME) 2021 バージョン2021 CU1およびそれ以前
• Schneider Electric EcoStruxure Power Monitoring Expert (PME) 2020 バージョン2020 CU3およびそれ以前
• Schneider Electric EcoStruxure Power Operation (EPO) 2022 バージョン2022 CU4およびそれ以前
• Schneider Electric EcoStruxure Power Operation (EPO) 2022 - Advanced Reporting and Dashboards Module バージョン2022 CU4およびそれ以前
• Schneider Electric EcoStruxure Power Operation (EPO) 2021 バージョン2021 CU3 Hotfix 2およびそれ以前
• Schneider Electric EcoStruxure Power Operation (EPO) 2021 - Advanced Reporting and Dashboards Module バージョン2021 CU3 Hotfix 2およびそれ以前
• Schneider Electric EcoStruxure Power SCADA Operation 2020 (PSO) - Advanced Reporting and Dashboards Module 全バージョン

Schneider Electricが提供する複数の製品には、次の複数の脆弱性が存在します。

• 不適切な権限管理（CWE-269）
  • CVE-2024-8306
• クロスサイトスクリプティング（CWE-79）
  • CVE-2024-8401

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 認証されたローカルのユーザーによって、バイナリーを改ざんして権限を昇格され、認証なしでアクセスされたり、ワークステーションの機密性、完全性、可用性が損なわれたりする（CVE-2024-8306）
• 認証されたユーザによって、当該製品のコンテクスト内でフォルダ名を改ざんされる（CVE-2024-8401）

アップデートする
開発者は、本脆弱性に対応したバージョンを提供しています。

以下の製品は、今後、修正バージョンをリリース予定とのことです。

• Schneider Electric Vijeo Designer embedded in EcoStruxure Machine Expert

• Schneider Electric EcoStruxure Power Monitoring Expert (PME) 2020
• Schneider Electric EcoStruxure Power SCADA Operation 2020 (PSO) - Advanced Reporting and Dashboards Module