CVSS: 6.7EPSS: 0%CPEs: 3EXPL: 0CVE-2021-22741
https://notcve.org/view.php?id=CVE-2021-22741
Use of Password Hash with Insufficient Computational Effort vulnerability exists in ClearSCADA (all versions), EcoStruxure Geo SCADA Expert 2019 (all versions), and EcoStruxure Geo SCADA Expert 2020 (V83.7742.1 and prior), which could cause the revealing of account credentials when server database files are available. Exposure of these files to an attacker can make the system vulnerable to password decryption attacks. Note that “.sde” configuration export files do not contain user account password hashes. Una vulnerabilidad de Uso de Contraseña Hash con vulnerabilidad con Esfuerzo Computacional Insuficiente se presenta en ClearSCADA (todas las versiones), EcoStruxure Geo SCADA Expert 2019 (todas las versiones) y EcoStruxure Geo SCADA Expert 2020 (versiones V83.7742.1 y anteriores), que podría causar la revelación de las credenciales de la cuenta cuando los archivos de la base de datos del servidor están disponibles. La exposición de estos archivos a un atacante puede hacer que el sistema sea vulnerable a los ataques de descifrado de contraseñas. • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-130-07 • CWE-916: Use of Password Hash With Insufficient Computational Effort •
CVSS: 7.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-6854
https://notcve.org/view.php?id=CVE-2019-6854
A CWE-287: Improper Authentication vulnerability exists in a folder within EcoStruxure Geo SCADA Expert (ClearSCADA) -with initial releases before 1 January 2019- which could cause a low privilege user to delete or modify database, setting or certificate files. Those users must have access to the file system of that operating system to exploit this vulnerability. Affected versions in current support includes ClearSCADA 2017 R3, ClearSCADA 2017 R2, and ClearSCADA 2017. CWE-287: Se presenta una vulnerabilidad de autenticación inapropiada en una carpeta dentro de EcoStruxure Geo SCADA Expert (ClearSCADA), con versiones iniciales anteriores al 1 de enero de 2019, lo que podría causar que un usuario con poco privilegio elimine o modifique archivos de bases de datos, configuraciones o certificados . Esos usuarios necesitan tener acceso al sistema de archivos de ese sistema operativo para explotar esta vulnerabilidad. • https://www.se.com/ww/en/download/document/SEVD-2019-344-05 • CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2017-6021
https://notcve.org/view.php?id=CVE-2017-6021
In Schneider Electric ClearSCADA 2014 R1 (build 75.5210) and prior, 2014 R1.1 (build 75.5387) and prior, 2015 R1 (build 76.5648) and prior, and 2015 R2 (build 77.5882) and prior, an attacker with network access to the ClearSCADA server can send specially crafted sequences of commands and data packets to the ClearSCADA server that can cause the ClearSCADA server process and ClearSCADA communications driver processes to terminate. A CVSS v3 base score of 7.5 has been assigned; the CVSS vector string is (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H). En Schneider Electric ClearSCADA 2014 R1 (build 75.5210) y anteriores, 2014 R1.1 (build 75.5387) y anteriores, 2015 R1 (build 76.5648) y anteriores y 2015 R2 (build 77.5882) y anteriores, un atacante con acceso de red al servidor ClearSCADA puede enviar secuencias de comandos especialmente manipuladas y paquetes de datos al servidor ClearSCADA que pueden provocar que el proceso del servidor ClearSCADA y los procesos del controlador de comunicaciones ClearSCADA finalicen. Se ha calculado una puntuación base de CVSS v3 de 7.5; la cadena de vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H). • http://www.securityfocus.com/bid/96768 https://ics-cert.us-cert.gov/advisories/ICSA-17-068-01 • CWE-20: Improper Input Validation •
CVSS: 3.5EPSS: 0%CPEs: 9EXPL: 0CVE-2014-5411
https://notcve.org/view.php?id=CVE-2014-5411
Multiple cross-site scripting (XSS) vulnerabilities in Schneider Electric StruxureWare SCADA Expert ClearSCADA 2010 R3 through 2014 R1 allow remote authenticated users to inject arbitrary web script or HTML via unspecified vectors. Múltiples vulnerabilidades de XSS en Schneider Electric StruxureWare SCADA Expert ClearSCADA 2010 R3 hasta 2014 R1 permiten a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados. • https://ics-cert.us-cert.gov/advisories/ICSA-14-259-01 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 1%CPEs: 9EXPL: 0CVE-2014-5412
https://notcve.org/view.php?id=CVE-2014-5412
Schneider Electric StruxureWare SCADA Expert ClearSCADA 2010 R3 through 2014 R1 allows remote attackers to read database records by leveraging access to the guest account. Schneider Electric StruxureWare SCADA Expert ClearSCADA versiones desde 2010 R3 hasta 2014 R1 permite a atacantes remotos leer registros de la base de datos a través del acceso con la cuenta de invitado. • https://ics-cert.us-cert.gov/advisories/ICSA-14-259-01 • CWE-264: Permissions, Privileges, and Access Controls •