CVSS: 6.7EPSS: 0%CPEs: 2EXPL: 0CVE-2017-9969
https://notcve.org/view.php?id=CVE-2017-9969
An information disclosure vulnerability exists in Schneider Electric's IGSS Mobile application version 3.01 and prior. Passwords are stored in clear text in the configuration which can result in exposure of sensitive information. Existe una vulnerabilidad de divulgación de información en la aplicación Schneider Electric's IGSS Mobile, en versiones 3.01 y anteriores. Las contraseñas se almacenan en texto claro en la configuración, lo que puede resultar en la exposición de información sensible. • http://www.securityfocus.com/bid/103046 https://ics-cert.us-cert.gov/advisories/ICSA-18-046-03 https://www.schneider-electric.com/en/download/document/SEVD-2018-039-02 • CWE-522: Insufficiently Protected Credentials •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-9967
https://notcve.org/view.php?id=CVE-2017-9967
A security misconfiguration vulnerability exists in Schneider Electric's IGSS SCADA Software versions 12 and prior. Security configuration settings such as Address Space Layout Randomization (ASLR) and Data Execution prevention (DEP) were not properly configured resulting in weak security. Existe una vulnerabilidad de configuración de seguridad errónea en Schneider Electric's IGSS SCADA Software, en versiones 12 y anteriores. Las opciones de configuración de seguridad como Address Space Layout Randomization (ASLR) y Data Execution Prevention (DEP) no se configuraron correctamente, lo que resultaba en una seguridad débil. • http://www.securityfocus.com/bid/103022 https://www.schneider-electric.com/en/download/document/SEVD-2018-037-01 •
CVSS: 5.9EPSS: 0%CPEs: 2EXPL: 0CVE-2017-9968
https://notcve.org/view.php?id=CVE-2017-9968
A security misconfiguration vulnerability exists in Schneider Electric's IGSS Mobile application versions 3.01 and prior in which a lack of certificate pinning during the TLS/SSL connection establishing process can result in a man-in-the-middle attack. Existe una vulnerabilidad de configuración de seguridad errónea en la aplicación Schneider Electric's IGSS Mobile, en versiones 3.01 y anteriores, en la cual la falta de asignación de certificados durante el proceso de establecimiento de conexión TLS/SSL puede desembocar en un ataque Man-in-the-Middle (MitM). • http://www.securityfocus.com/bid/103048 https://ics-cert.us-cert.gov/advisories/ICSA-18-046-03 https://www.schneider-electric.com/en/download/document/SEVD-2018-039-02 • CWE-295: Improper Certificate Validation •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-9963
https://notcve.org/view.php?id=CVE-2017-9963
A cross-site request forgery vulnerability exists on the Secure Gateway component of Schneider Electric's PowerSCADA Anywhere v1.0 redistributed with PowerSCADA Expert v8.1 and PowerSCADA Expert v8.2 and Citect Anywhere version 1.0 for multiple state-changing requests. This type of attack requires some level of social engineering in order to get a legitimate user to click on or access a malicious link/site containing the CSRF attack. Existe una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el componente Secure Gateway de PowerSCADA Anywhere v1.0 redistribuido con PowerSCADA Expert v8.1 y PowerSCADA Expert v8.2 y Citect Anywhere versión 1.0, de Schneider Electric para múltiples peticiones de cambio de estado. Este tipo de ataque requiere cierto nivel de ingeniería social para conseguir que un usuario legítimo haga clic o acceda a un enlace o página maliciosa que contenga el ataque CSRF. • http://www.schneider-electric.com/en/download/document/SEVD-2017-173-01 https://www.citect.schneider-electric.com/safety-and-security-central/36-security-notifications/9071-security-notification-citect-anywhere • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.0EPSS: 1%CPEs: 1EXPL: 0CVE-2017-9970
https://notcve.org/view.php?id=CVE-2017-9970
A remote code execution vulnerability exists in Schneider Electric's StruxureOn Gateway versions 1.1.3 and prior. Uploading a zip which contains carefully crafted metadata allows for the file to be uploaded to any directory on the host machine information which could lead to remote code execution. Existe una vulnerabilidad de ejecución remota de código en Schneider Electric's StruxureOn Gateway, en versiones 1.1.3 y anteriores. La subida de un zip que contiene metadatos cuidadosamente manipulados permite que el archivo sea subido a cualquier directorio de la información de la máquina host, lo que puede desembocar en la ejecución remota de código. • http://www.securityfocus.com/bid/103052 https://ics-cert.us-cert.gov/advisories/ICSA-18-046-04 https://www.schneider-electric.com/en/download/document/SEVD-2018-039-01 • CWE-434: Unrestricted Upload of File with Dangerous Type •