CVE-2022-32524
https://notcve.org/view.php?id=CVE-2022-32524
A CWE-120: Buffer Copy without Checking Size of Input vulnerability exists that could cause a stack-based buffer overflow, potentially leading to remote code execution when an attacker sends specially crafted time reduced data messages. Affected Products: IGSS Data Server - IGSSdataServer.exe (Versions prior to V15.0.0.22170) Existe una vulnerabilidad CWE-120: copia del búfer sin comprobar el tamaño de la entrada que podría causar un desbordamiento de búfer en la región stack de la memoria, lo que podría conducir a la ejecución remota de código cuando un atacante envía mensajes de datos especialmente manipulados en tiempo reducido. Productos afectados: IGSS Data Server - IGSSdataServer.exe (Versiones anteriores a V15.0.0.22170) • https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-165-01_IGSS_Security_Notification_V2.pdf • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •
CVE-2021-22824
https://notcve.org/view.php?id=CVE-2021-22824
A CWE-120: Buffer Copy without Checking Size of Input vulnerability exists that could result in denial of service, due to missing length check on user-supplied data from a constructed message received on the network. Affected Product: Interactive Graphical SCADA System Data Collector (dc.exe) (V15.0.0.21320 and prior) Una CWE-120: Se presenta una vulnerabilidad de Copia del Búfer sin Comprobar el Tamaño de la Entrada que podría resultar en una denegación de servicio, debido a una falta de comprobación de la longitud de los datos suministrados por el usuario de un mensaje construido recibido en la red. Producto afectado: Interactive Graphical SCADA System Data Collector (dc.exe) (versiones V15.0.0.21320 y anteriores) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-01 • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •
CVE-2021-22823
https://notcve.org/view.php?id=CVE-2021-22823
A CWE-306: Missing Authentication for Critical Function vulnerability exists that could cause deletion of arbitrary files in the context of the user running IGSS due to lack of validation of network messages. Affected Product: Interactive Graphical SCADA System Data Collector (dc.exe) (V15.0.0.21320 and prior) Una CWE-306: Se presenta una vulnerabilidad de Falta de Autenticación para una Función Crítica que podría causar el borrado de archivos arbitrarios en el contexto del usuario que ejecuta IGSS debido a una falta de comprobación de los mensajes de red. Producto afectado: Interactive Graphical SCADA System Data Collector (dc.exe) (V15.0.0.21320 y anteriores) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-01 • CWE-306: Missing Authentication for Critical Function •
CVE-2022-24317 – Schneider Electric IGSS Missing Authentication Information Disclosure Vulnerability
https://notcve.org/view.php?id=CVE-2022-24317
A CWE-862: Missing Authorization vulnerability exists that could cause information exposure when an attacker sends a specific message. Affected Product: Interactive Graphical SCADA System Data Server (V15.0.0.22020 and prior) Una CWE-862: Se presenta una vulnerabilidad de Falta de Autorización que podría causar una exposición de información cuando un atacante envía un mensaje específico. Producto afectado: Interactive Graphical SCADA System Data Server (versiones V15.0.0.22020 y anteriores) This vulnerability allows remote attackers to disclose sensitive information on affected installations of Schneider Electric IGSS. Authentication is not required to exploit this vulnerability. The specific flaw exists within the IGSSDataServer process, which listens on TCP port 12401 by default. The issue results from the lack of authentication prior to allowing access to functionality. • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-01 https://www.zerodayinitiative.com/advisories/ZDI-22-324 • CWE-862: Missing Authorization •
CVE-2022-24316 – Schneider Electric IGSS IGSSdataServer Uninitialized Memory Information Disclosure Vulnerability
https://notcve.org/view.php?id=CVE-2022-24316
A CWE-665: Improper Initialization vulnerability exists that could cause information exposure when an attacker sends a specially crafted message. Affected Product: Interactive Graphical SCADA System Data Server (V15.0.0.22020 and prior) Una CWE-665: Se presenta una vulnerabilidad de Inicialización Inapropiada que podría causar una exposición de información cuando un atacante envía un mensaje especialmente diseñado. Producto afectado: Interactive Graphical SCADA System Data Server (versiones V15.0.0.22020 y anteriores) This vulnerability allows remote attackers to disclose sensitive information on affected installations of Schneider Electric IGSS. Authentication is not required to exploit this vulnerability. The specific flaw exists within the IGSSDataServer process, which listens on TCP port 12401 by default. The issue results from the lack of proper initialization of memory prior to accessing it. • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-01 https://www.zerodayinitiative.com/advisories/ZDI-22-323 • CWE-665: Improper Initialization •