CVE-2022-41669
https://notcve.org/view.php?id=CVE-2022-41669
A CWE-347: Improper Verification of Cryptographic Signature vulnerability exists in the SGIUtility component that allows adversaries with local user privileges to load a malicious DLL which could result in execution of malicious code. Affected Products: EcoStruxure Operator Terminal Expert(V3.3 Hotfix 1 or prior), Pro-face BLUE(V3.3 Hotfix1 or prior). Existe una vulnerabilidad CWE-347: Verificación Inadecuada de Firma Criptográfica en el componente SGIUtility que permite a adversarios con privilegios de usuario local cargar una DLL maliciosa que podría resultar en la ejecución de código malicioso. Productos afectados: EcoStruxure Operator Terminal Expert (V3.3 Hotfix 1 o anterior), Pro-face BLUE (V3.3 Hotfix 1 o anterior). • https://www.se.com/ww/en/download/document/SEVD-2022-284-01 • CWE-347: Improper Verification of Cryptographic Signature •
CVE-2022-41671
https://notcve.org/view.php?id=CVE-2022-41671
A CWE-89: Improper Neutralization of Special Elements used in SQL Command (‘SQL Injection’) vulnerability exists that allows adversaries with local user privileges to craft a malicious SQL query and execute as part of project migration which could result in execution of malicious code. Affected Products: EcoStruxure Operator Terminal Expert(V3.3 Hotfix 1 or prior), Pro-face BLUE(V3.3 Hotfix1 or prior). Existe una vulnerabilidad CWE-89: Neutralización inadecuada de elementos especiales utilizados en el comando SQL ('Inyección SQL') que permite a adversarios con privilegios de usuario local crear una consulta SQL maliciosa y ejecutarla como parte de la migración del proyecto, lo que podría resultar en la ejecución de código malicioso. Productos afectados: EcoStruxure Operator Terminal Expert (V3.3 Hotfix 1 o anterior), Pro-face BLUE (V3.3 Hotfix 1 o anterior). • https://www.se.com/ww/en/download/document/SEVD-2022-284-01 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2020-28221
https://notcve.org/view.php?id=CVE-2020-28221
A CWE-20: Improper Input Validation vulnerability exists in EcoStruxure™ Operator Terminal Expert and Pro-face BLUE (version details in the notification) that could cause arbitrary code execution when the Ethernet Download feature is enable on the HMI. CWE-20: Se presenta una vulnerabilidad de Comprobación Inapropiada de la Entrada en EcoStruxure™ Operator Terminal Expert y Pro-face BLUE (detalles de la versión en la notificación) que podría causar una ejecución de código arbitraria cuando la funcionalidad Ethernet Download está habilitada en la HMI • https://www.se.com/ww/en/download/document/SEVD-2021-012-01 • CWE-20: Improper Input Validation •