BDU:2022-04407

Опубликовано: 12 июл. 2022

Источник: fstec

CVSS3: 6.7

CVSS2: 6.5

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения устройств релейной защиты и управления Schneider Electric Easergy P5 связана с использованием криптографических алгоритмов, содержащих дефекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность, доступность защищаемой информации

Вендор

Schneider Electric

Наименование ПО

Easergy P5

Версия ПО

до 01.402.101 (Easergy P5)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)

Возможные меры по устранению уязвимости

Обновление микропрограммного обеспечения до версии 01.402.101 и выше

Компенсирующие меры:

- ограничить использование программного обеспечения Energy Pro только передним USB-портом;

- отключить SSH на заднем порту Ethernet, когда он не используется.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-193-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-193-04_Easergy_P5_Security_Notification.pdf

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-34757
CVE

EPSS

Процентиль: 39%

0.00174

Низкий

6.7 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

CVE-2022-34757

CVSS3: 6.7

nvd

больше 3 лет назад

A CWE-327: Use of a Broken or Risky Cryptographic Algorithm vulnerability exists where weak cipher suites can be used for the SSH connection between Easergy Pro software and the device, which may allow an attacker to observe protected communication details. Affected Products: Easergy P5 (V01.401.102 and prior)

GHSA-8g4c-686x-3qcc

CVSS3: 5.3

github