CVSS: 7.5EPSS: 0%CPEs: 28EXPL: 0CVE-2021-22785
https://notcve.org/view.php?id=CVE-2021-22785
A CWE-200: Information Exposure vulnerability exists that could cause sensitive information of files located in the web root directory to leak when an attacker sends a HTTP request to the web server of the device. Affected Product: Modicon M340 CPUs: BMXP34 (Versions prior to V3.40), Modicon M340 X80 Ethernet Communication Modules: BMXNOE0100 (H), BMXNOE0110 (H), BMXNOC0401, BMXNOR0200H RTU (All Versions), Modicon Premium Processors with integrated Ethernet (Copro): TSXP574634, TSXP575634, TSXP576634 (All Versions), Modicon Quantum Processors with Integrated Ethernet (Copro): 140CPU65xxxxx (All Versions), Modicon Quantum Communication Modules: 140NOE771x1, 140NOC78x00, 140NOC77101 (All Versions), Modicon Premium Communication Modules: TSXETY4103, TSXETY5103 (All Versions) Una CWE-200: Se presenta una vulnerabilidad de Exposición de Información que podría causar un filtrado de información confidencial de archivos ubicados en el directorio root de la web cuando un atacante envía una petición HTTP al servidor web del dispositivo. Producto afectado: CPUs Modicon M340: BMXP34 (Versiones anteriores a V3.40), Módulos de Comunicación Ethernet Modicon M340 X80: BMXNOE0100 (H), BMXNOE0110 (H), BMXNOC0401, BMXNOR0200H RTU (Todas las versiones), Procesadores Modicon Premium con Ethernet integrada (Copro): TSXP574634, TSXP575634, TSXP576634 (Todas las versiones), Procesadores Modicon Quantum con Ethernet integrado (Copro): 140CPU65xxxxx (Todas las versiones), Módulos de comunicación Modicon Quantum: 140NOE771x1, 140NOC78x00, 140NOC77101 (Todas las versiones), Módulos de comunicación Modicon Premium: TSXETY4103, TSXETY5103 (todas las versiones) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-257-02 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-22796
https://notcve.org/view.php?id=CVE-2021-22796
A CWE-287: Improper Authentication vulnerability exists that could allow remote code execution when a malicious file is uploaded. Affected Product: C-Bus Toolkit (V1.15.9 and prior), C-Gate Server (V2.11.7 and prior) Una CWE-287: Se presenta una vulnerabilidad de Autenticación Inapropiada que podría permitir una ejecución de código remota cuando es cargado un archivo malicioso. Producto afectado: C-Bus Toolkit (versiones V1.15.9 y anteriores), C-Gate Server (versiones V2.11.7 y anteriores) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-103-01 • CWE-287: Improper Authentication •
CVSS: 7.8EPSS: 0%CPEs: 85EXPL: 0CVE-2021-22817
https://notcve.org/view.php?id=CVE-2021-22817
A CWE-276: Incorrect Default Permissions vulnerability exists that could cause unauthorized access to the base installation directory leading to local privilege escalation. Affected Product: Harmony/Magelis iPC Series (All Versions), Vijeo Designer (All Versions prior to V6.2 SP11 Multiple HotFix 4), Vijeo Designer Basic (All Versions prior to V1.2.1) Una CWE-276: Se presenta una vulnerabilidad de Permisos incorrectos por Defecto que podría causar un acceso no autorizado al directorio de instalación base conllevando a una escalada de privilegios local. Producto afectado: Harmony/Magelis iPC Series (todas las versiones), Vijeo Designer (todas las versiones anteriores a V6.2 SP11 Multiple HotFix 4), Vijeo Designer Basic (todas las versiones anteriores a V1.2.1) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-06 • CWE-276: Incorrect Default Permissions •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2022-24321
https://notcve.org/view.php?id=CVE-2022-24321
A CWE-754: Improper Check for Unusual or Exceptional Conditions vulnerability exists that could cause Denial of Service against the Geo SCADA server when receiving a malformed HTTP request. Affected Product: ClearSCADA (All Versions), EcoStruxure Geo SCADA Expert 2019 (All Versions), EcoStruxure Geo SCADA Expert 2020 (All Versions) Una CWE-754: Se presenta una vulnerabilidad de Comprobación Inapropiada de Condiciones Inusuales o Excepcionales que podría causar una denegación de servicio contra el servidor Geo SCADA cuando se recibe una petición HTTP malformada. Producto afectado: ClearSCADA (todas las versiones), EcoStruxure Geo SCADA Expert 2019 (todas las versiones), EcoStruxure Geo SCADA Expert 2020 (todas las versiones) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-05 • CWE-754: Improper Check for Unusual or Exceptional Conditions •
CVSS: 5.9EPSS: 0%CPEs: 3EXPL: 0CVE-2022-24320
https://notcve.org/view.php?id=CVE-2022-24320
A CWE-295: Improper Certificate Validation vulnerability exists that could allow a Man-in-theMiddle attack when communications between the client and Geo SCADA database server are intercepted. Affected Product: ClearSCADA (All Versions), EcoStruxure Geo SCADA Expert 2019 (All Versions), EcoStruxure Geo SCADA Expert 2020 (All Versions) Una CWE-295: Se presenta una vulnerabilidad de Comprobación Inapropiada de Certificados que podría permitir un ataque de tipo Man-in-theMiddle cuando son interceptadas las comunicaciones entre el cliente y el servidor de la base de datos de Geo SCADA. Producto afectado: ClearSCADA (todas las versiones), EcoStruxure Geo SCADA Expert 2019 (todas las versiones), EcoStruxure Geo SCADA Expert 2020 (todas las versiones) • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-05 https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2022/MNDT-2022-0019/MNDT-2022-0019.md • CWE-295: Improper Certificate Validation •