CVSS: 5.9EPSS: 0%CPEs: 3EXPL: 0CVE-2022-24319
https://notcve.org/view.php?id=CVE-2022-24319
A CWE-295: Improper Certificate Validation vulnerability exists that could allow a Man-in-theMiddle attack when communications between the client and Geo SCADA web server are intercepted. Affected Product: ClearSCADA (All Versions), EcoStruxure Geo SCADA Expert 2019 (All Versions), EcoStruxure Geo SCADA Expert 2020 (All Versions) Una CWE-295: Se presenta una vulnerabilidad de Comprobación de Certificados inapropiada que podría permitir un ataque de tipo Man-in-theMiddle cuando son interceptadas las comunicaciones entre el cliente y el servidor web de Geo SCADA. Producto afectado: ClearSCADA (todas las versiones), EcoStruxure Geo SCADA Expert 2019 (todas las versiones), EcoStruxure Geo SCADA Expert 2020 (todas las versiones) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-05 https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2022/MNDT-2022-0018/MNDT-2022-0018.md • CWE-295: Improper Certificate Validation •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2022-24318
https://notcve.org/view.php?id=CVE-2022-24318
A CWE-326: Inadequate Encryption Strength vulnerability exists that could cause non-encrypted communication with the server when outdated versions of the ViewX client are used. Affected Product: ClearSCADA (All Versions), EcoStruxure Geo SCADA Expert 2019 (All Versions), EcoStruxure Geo SCADA Expert 2020 (All Versions) Una CWE-326: Se presenta una vulnerabilidad de Fuerza de Encriptación que podría causar una comunicación no encriptada con el servidor cuando son usadas versiones obsoletas del cliente ViewX. Producto afectado: ClearSCADA (todas las versiones), EcoStruxure Geo SCADA Expert 2019 (todas las versiones), EcoStruxure Geo SCADA Expert 2020 (todas las versiones) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-05 • CWE-326: Inadequate Encryption Strength •
CVSS: 6.7EPSS: 0%CPEs: 3EXPL: 0CVE-2021-22741
https://notcve.org/view.php?id=CVE-2021-22741
Use of Password Hash with Insufficient Computational Effort vulnerability exists in ClearSCADA (all versions), EcoStruxure Geo SCADA Expert 2019 (all versions), and EcoStruxure Geo SCADA Expert 2020 (V83.7742.1 and prior), which could cause the revealing of account credentials when server database files are available. Exposure of these files to an attacker can make the system vulnerable to password decryption attacks. Note that “.sde” configuration export files do not contain user account password hashes. Una vulnerabilidad de Uso de Contraseña Hash con vulnerabilidad con Esfuerzo Computacional Insuficiente se presenta en ClearSCADA (todas las versiones), EcoStruxure Geo SCADA Expert 2019 (todas las versiones) y EcoStruxure Geo SCADA Expert 2020 (versiones V83.7742.1 y anteriores), que podría causar la revelación de las credenciales de la cuenta cuando los archivos de la base de datos del servidor están disponibles. La exposición de estos archivos a un atacante puede hacer que el sistema sea vulnerable a los ataques de descifrado de contraseñas. • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-130-07 • CWE-916: Use of Password Hash With Insufficient Computational Effort •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-28219
https://notcve.org/view.php?id=CVE-2020-28219
A CWE-522: Insufficiently Protected Credentials vulnerability exists in EcoStruxure Geo SCADA Expert 2019 (Original release and Monthly Updates to September 2020, from 81.7268.1 to 81.7578.1) and EcoStruxure Geo SCADA Expert 2020 (Original release and Monthly Updates to September 2020, from 83.7551.1 to 83.7578.1), that could cause exposure of credentials to server-side users when web users are logged in to Virtual ViewX. Una CWE-522: Se presenta una vulnerabilidad de Credenciales Insuficientemente Protegidas en EcoStruxure Geo SCADA Expert 2019 (versión original y Actualizaciones Mensuales hasta Septiembre de 2020, desde 81.7268.1 hasta 81.7578.1) y EcoStruxure Geo SCADA Expert 2020 (versión original y Actualizaciones Mensuales hasta Septiembre de 2020), desde 83.7551.1 hasta 83.7578.1), que podría causar la exposición de las credenciales a los usuarios del lado del servidor cuando los usuarios web inician sesión en Virtual ViewX • https://www.se.com/ww/en/download/document/SEVD-2020-343-02 • CWE-522: Insufficiently Protected Credentials •